CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
En bref
- CISA et le NCSC britannique publient le 24 avril 2026 une alerte conjointe sur le backdoor FIRESTARTER, déployé par l'APT chinois UAT-4356.
- Le malware infecte les pare-feu Cisco ASA et Firepower, survit aux mises à jour firmware et ne disparaît qu'avec une coupure d'alimentation complète.
- Une agence fédérale américaine est confirmée compromise depuis septembre 2025, avec maintien de l'accès via FIRESTARTER après le déploiement des patchs ED 25-03.
Ce qui s'est passé
La CISA et le NCSC britannique ont publié le 24 avril 2026 un rapport d'analyse conjoint sur FIRESTARTER, un backdoor sophistiqué qui cible les pare-feu Cisco ASA exécutant les firmwares Adaptive Security Appliance ou Firepower Threat Defense. L'accès initial s'appuie sur l'enchaînement de CVE-2025-20333 et CVE-2025-20362, deux failles divulguées en septembre 2025 dans le firmware Cisco ASA. L'attribution est revendiquée par Cisco Talos sous le nom UAT-4356, déjà identifié dans la campagne d'espionnage ArcaneDoor de 2024 contre des équipements de périmètre. Le rapport détaille un cas concret : une agence fédérale civile américaine compromise dès septembre 2025, soit avant même que CISA n'émette la directive ED 25-03 imposant le patch, et dont les opérateurs ont maintenu l'accès en redéployant FIRESTARTER après l'application des correctifs. En mars 2026, un second implant baptisé LINE VIPER a été installé en complément, sans qu'aucune des deux étapes ne nécessite de réexploiter les vulnérabilités d'origine, démontrant que la simple application des patchs ne suffit plus à éradiquer un attaquant déjà installé.
Le degré de sophistication observé sur FIRESTARTER place ce groupe dans la même catégorie que les campagnes APT chinoises documentées récemment, comme GopherWhisper qui dissimule son C2 dans Discord.
Pourquoi c'est important
FIRESTARTER est conçu pour résister à la totalité des opérations de remédiation classiques. Le malware détecte les signaux de terminaison et se relance automatiquement, survit aux mises à jour de firmware et persiste après les reboots logiciels. Seule une coupure d'alimentation physique complète garantit son éradication — une opération impossible à conduire à distance et rarement compatible avec les contraintes de production sur des équipements de périmètre. La problématique fait écho aux récentes alertes sur l'exploitation active de Cisco SD-WAN Manager et les failles critiques sur Cisco ISE et Webex.
Le ciblage des pare-feu de bord transforme l'attaquant en interception man-in-the-middle permanente : tout trafic sortant ou entrant peut être inspecté, modifié, ou utilisé pour pivoter vers le système d'information interne. Les administrations, opérateurs d'importance vitale et grandes entreprises qui exposent du Cisco ASA en frontal sont en première ligne, particulièrement celles ayant déployé les correctifs sans procédure de vérification d'intégrité hors-bande. CISA recommande de considérer toute infrastructure ASA exposée avant septembre 2025 comme potentiellement compromise — une posture conforme aux ajouts récents au catalogue KEV de CISA.
Ce qu'il faut retenir
- L'application du patch ne suffit pas : les organisations ayant exposé du Cisco ASA avant septembre 2025 doivent supposer une compromission jusqu'à preuve du contraire.
- Procéder à un hard power cycle après audit, en complément des patchs, sur tous les équipements potentiellement touchés.
- Activer la collecte de logs vers un SIEM externe et comparer les hashes firmware aux références constructeur.
- Renforcer la segmentation réseau pour limiter le pivot depuis un pare-feu compromis vers les actifs internes.
Pourquoi un reboot logiciel ne suffit-il pas à supprimer FIRESTARTER ?
Le malware s'injecte en mémoire et hooke les routines de redémarrage du firmware ASA pour se réécrire automatiquement après un reload. Seule une coupure totale de l'alimentation interrompt cette boucle. Cisco Talos recommande de combiner hard power cycle, comparaison de hash firmware et reconstruction complète des configurations à partir d'une sauvegarde antérieure à la compromission, dans une logique proche de celle décrite dans notre analyse du patch ASP.NET Core out-of-band.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
LMDeploy CVE-2026-33626 : SSRF exploité en 12 heures
La SSRF CVE-2026-33626 dans LMDeploy a été exploitée 12 heures après sa divulgation, exposant l'IMDS AWS et le réseau interne des serveurs vision-LLM.
Commentaires (1)
Laisser un commentaire