**Alerta global por el malware Firestarter: persistencia avanzada en dispositivos Cisco Firepower y ASA**

—

### 1. Introducción

Las agencias de ciberseguridad de Estados Unidos (CISA, NSA, FBI) y Reino Unido (NCSC) han emitido una alerta conjunta sobre una grave amenaza que afecta a infraestructuras críticas y entornos empresariales de todo el mundo. El protagonista de este incidente es Firestarter, un malware personalizado que compromete dispositivos Cisco Firepower y Secure Firewall equipados con las soluciones Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD). Este ataque destaca por su sofisticación, persistencia y la dificultad para su detección, constituyendo un riesgo significativo para la continuidad de negocio y la protección de datos en organizaciones que dependen de estos dispositivos para la seguridad perimetral.

—

### 2. Contexto del Incidente

La alerta surge tras la detección de múltiples compromisos en dispositivos Cisco desde al menos noviembre de 2023. El vector de ataque principal ha sido la explotación de vulnerabilidades conocidas y, en algunos casos, la utilización de credenciales robadas, permitiendo a los atacantes desplegar Firestarter y mantener acceso furtivo a entornos críticos.

Los dispositivos afectados son ampliamente utilizados en sectores sensibles, incluyendo administración pública, energía, finanzas y salud, lo que aumenta la criticidad del incidente y su potencial impacto en la seguridad nacional y la resiliencia de los servicios esenciales.

—

### 3. Detalles Técnicos

**Dispositivos y versiones afectadas:**
– Cisco Firepower y Secure Firewall con software ASA (todas las versiones soportadas y sin soporte)
– Cisco Firepower Threat Defense (FTD), especialmente versiones anteriores a la última actualización de seguridad

**Vectores de ataque y TTPs:**
– **Explotación de CVE-2024-20353 y CVE-2024-20359:** vulnerabilidades de escalada de privilegios y ejecución remota de código, ambas con CVSS superiores a 8.0.
– **Uso de credenciales comprometidas:** ataques de fuerza bruta y abuso de cuentas con privilegios elevados.

**Tácticas, Técnicas y Procedimientos (MITRE ATT&CK):**
– *Initial Access (TA0001):* Explotación de vulnerabilidades en servicios expuestos (T1190).
– *Persistence (TA0003):* Modificación de configuraciones y archivos del sistema (T1053.005).
– *Defense Evasion (TA0005):* Uso de binarios legítimos del sistema (T1218).
– *Command and Control (TA0011):* Canales cifrados personalizados y tunelización a través de protocolos legítimos (T1572, T1095).

**Indicadores de Compromiso (IoC):**
– Presencia de procesos no autorizados denominados “firewatch” y “fsdaemon”.
– Conexiones salientes inusuales a dominios de C2 ofuscados.
– Modificaciones no autorizadas en archivos de configuración ASA/FTD.

**Herramientas y frameworks utilizados:**
– Evidencias de uso de frameworks como Cobalt Strike y scripts personalizados para la escalada de privilegios y la persistencia.
– Ausencia, hasta la fecha, de exploits públicos en Metasploit, aunque se han detectado PoCs en foros clandestinos.

—

### 4. Impacto y Riesgos

El compromiso de firewalls y appliances de seguridad perimetral permite a los actores de amenazas saltarse las defensas tradicionales, monitorizar el tráfico interno, robar credenciales, manipular reglas de seguridad y pivotar lateralmente hacia otros activos críticos.

Según estimaciones, más de 80.000 dispositivos Cisco potencialmente vulnerables están expuestos a Internet en todo el mundo. El impacto económico y operativo puede ser severo, con riesgos de filtración de datos regulados (GDPR, NIS2), interrupción de servicios y sanciones económicas que, en el caso de la GDPR, pueden alcanzar los 20 millones de euros o el 4% de la facturación anual.

—

### 5. Medidas de Mitigación y Recomendaciones

Las agencias recomiendan encarecidamente:

– **Actualizar inmediatamente** los dispositivos ASA y FTD a las últimas versiones y aplicar parches para CVE-2024-20353 y CVE-2024-20359.
– Revisar exhaustivamente configuraciones y archivos en busca de modificaciones no autorizadas.
– Cambiar todas las credenciales administrativas y aplicar MFA donde sea posible.
– Monitorizar logs y tráfico en busca de IoCs asociados a Firestarter.
– Segmentar la red y restringir el acceso remoto a los dispositivos de seguridad.
– Utilizar herramientas de análisis forense específicas para dispositivos de red (por ejemplo, Cisco Secure Firewall Analytics).
– Establecer procedimientos de respuesta a incidentes ante detección de actividad sospechosa.

—

### 6. Opinión de Expertos

Expertos independientes y analistas de amenazas subrayan la sofisticación de Firestarter, destacando su capacidad para persistir incluso tras reinicios y actualizaciones. “Este ataque supone una evolución en las amenazas dirigidas a appliances de red, tradicionalmente considerados más seguros que los endpoints convencionales”, comenta un analista de SANS Institute.

Desde Cisco, se ha publicado un Security Advisory y guías detalladas para la contención y remediación, aunque se advierte que la limpieza completa puede requerir una reinstalación desde cero y la validación de la integridad del firmware.

—

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar urgentemente su inventario de dispositivos de seguridad, priorizando la evaluación y actualización de firewalls ASA/FTD. El incidente pone de manifiesto la necesidad de una gestión proactiva de vulnerabilidades, monitorización continua y pruebas de intrusión regulares en el perímetro.

Para los administradores de sistemas y analistas SOC, este ataque reafirma la importancia de no confiar ciegamente en los appliances de seguridad y mantener una defensa en profundidad, así como la colaboración fluida con los equipos de red y seguridad.

—

### 8. Conclusiones

El caso Firestarter marca un antes y un después en la protección de la infraestructura perimetral. La sofisticación y persistencia del malware exige una respuesta coordinada y urgente. Las organizaciones deben reforzar sus controles, actualizar dispositivos y adoptar una visión holística de la seguridad, donde ningún elemento sea considerado inexpugnable.

(Fuente: www.bleepingcomputer.com)