Hackers que aprovechan las vulnerabilidades de n días de los dispositivos Cisco Firepower para obtener acceso no autorizado

Los actores de amenazas patrocinados por el estado están apuntando activamente a los dispositivos Cisco Firepower encadenando vulnerabilidades conocidas para implementar una backdoor altamente personalizada. Cisco Talos descubrió recientemente que el grupo de amenazas centrado en el espionaje UAT-4356 está explotando dos vulnerabilidades de día n, rastreadas como CVE-2025-20333 y CVE-2025-20362, para infiltrarse en entornos del sistema operativo extensible (FXOS) de Firepower.

UAT-4356 orquestó previamente la campaña ArcaneDoor, que apuntó con éxito a dispositivos perimetrales de red para realizar un espionaje generalizado. En esta última campaña, los atacantes aprovechan su acceso inicial para instalar "FIRESTARTER", un implante avanzado que otorga control remoto no autorizado sobre las redes comprometidas. La backdoor FIRESTARTER se integra profundamente en los componentes centrales de los dispositivos ASA y FTD de Cisco. Ejecución de payload maliciosa Para establecer un punto de apoyo, UAT-4356 manipula la secuencia de inicio del dispositivo alterando la lista de montaje de la plataforma de servicios de Cisco.

Vuelva a crear imágenes de todos los dispositivos afectados para eliminar definitivamente la infección FIRESTARTER de la arquitectura del sistema. La publicación Hackers que explotan los dispositivos Cisco Firepower y utilizan vulnerabilidades de n días para obtener acceso no autorizado apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗