Infiltration : Firestarter défie les pare-feux Cisco, alerte mondiale en cybersécurité

La cybersécurité des entreprises est une fois de plus mise à l’épreuve. Une menace sophistiquée vient d’être identifiée sur des équipements réseau largement déployés dans les infrastructures critiques. Les spécialistes tirent la sonnette d’alarme et appellent à une action rapide pour neutraliser ce danger invisible.

Firestarter : une menace qui se cache dans l’ombre

Des chercheurs en sécurité informatique ont mis au jour une porte dérobée baptisée Firestarter, conçue pour infiltrer spécifiquement les pare-feux de Cisco Systems. Cette intrusion malveillante exploite deux failles critiques non corrigées : les CVE-2025-20333 et CVE-2025-20362.

La particularité de ce logiciel malveillant réside dans sa capacité à persister dans les systèmes infectés, même après les procédures de maintenance habituelles. Les dispositifs touchés incluent plusieurs gammes : Firepower 1000, 2100, 4100, 9300, 1200, 3100, 4200 ainsi que certains modèles Secure Firewall.

La procédure d’urgence pour éliminer l’infection

Un redémarrage complet s’impose

Contrairement aux redémarrages logiciels classiques, la suppression de Firestarter exige une coupure totale de l’alimentation électrique. La CISA et le NCSC recommandent de débrancher physiquement toutes les sources d’alimentation pendant au moins une minute avant de rebrancher l’équipement.

Cette méthode radicale vise à purger la mémoire volatile où se loge la porte dérobée. Dans les cas les plus graves, une réinstallation complète du système d’exploitation peut s’avérer nécessaire pour garantir l’éradication totale du malware.

Identifier les signes de compromission

Les administrateurs système peuvent utiliser les règles YARA pour détecter d’éventuelles traces d’infection sur leurs équipements. Cette analyse forensique permet d’identifier les appareils nécessitant une intervention urgente.

Moderniser les pratiques de sécurité

Au-delà de la réponse immédiate, les experts préconisent une refonte des contrôles d’administration. L’utilisation du protocole TACACS+ sur TLS 1.3 constitue une première étape essentielle. Cette mise à niveau requiert toutefois ISE 3.4 ou une version ultérieure selon les spécifications de Cisco.

La mise à jour des règles de pare-feux pour TACACS+ renforce également la posture défensive des organisations. Un contrôle rigoureux des comptes hérités s’impose pour empêcher toute propagation latérale au sein du réseau.

Les leçons d’une attaque sophistiquée

Rob Enderle, analyste réputé, souligne les limites de l’approche traditionnelle consistant à appliquer des correctifs sans suivi régulier. La résilience technique de Firestarter impressionne par ses capacités anti-forensiques avancées, notamment le « time stomping » qui brouille les pistes temporelles.

Cette campagne malveillante, baptisée ArcaneDoor, est attribuée au groupe UAT-4356, également identifié sous le nom Storm-1849. Ces acteurs malveillants ciblent délibérément les appareils réseau de Cisco et d’autres fabricants pour établir des points d’ancrage durables dans les infrastructures visées.

Une vigilance permanente indispensable

L’incident démontre que les équipements de sécurité eux-mêmes peuvent devenir des vecteurs d’attaque. Les organisations doivent adopter une posture proactive, combinant mises à jour régulières, surveillance continue et procédures de vérification rigoureuses.

La découverte de Firestarter rappelle que la cybersécurité n’est jamais acquise et nécessite une adaptation constante face à des menaces en perpétuelle évolution.