{"id":669,"date":"2026-04-24T18:06:18","date_gmt":"2026-04-24T18:06:18","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/24\/la-puerta-trasera-firestarter-golpeo-el-dispositivo-federal-cisco-firepower-y-sobrevive-a-los-parches-de-seguridad-cyberdefensa-mx\/"},"modified":"2026-04-24T18:06:18","modified_gmt":"2026-04-24T18:06:18","slug":"la-puerta-trasera-firestarter-golpeo-el-dispositivo-federal-cisco-firepower-y-sobrevive-a-los-parches-de-seguridad-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/24\/la-puerta-trasera-firestarter-golpeo-el-dispositivo-federal-cisco-firepower-y-sobrevive-a-los-parches-de-seguridad-cyberdefensa-mx\/","title":{"rendered":"La puerta trasera FIRESTARTER golpe\u00f3 el dispositivo federal Cisco Firepower y sobrevive a los parches de seguridad \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado que el dispositivo Cisco Firepower de una agencia civil federal an\u00f3nima que ejecuta el software Adaptive Security Appliance (ASA) se vio comprometido en septiembre de 2025 con un malware llamado <strong>INICIO DEL FUEGO<\/strong>.<\/p>\n<p>FIRESTARTER, seg\u00fan CISA y el Centro Nacional de Seguridad Cibern\u00e9tica (NCSC) del Reino Unido, es <a href=\"https:\/\/www.cisa.gov\/news-events\/analysis-reports\/ar26-113a\">juzgado<\/a> ser una puerta trasera dise\u00f1ada para acceso y control remotos. Se cree que se implement\u00f3 como parte de una campa\u00f1a \u00abgeneralizada\u00bb orquestada por un actor de amenaza persistente avanzada (APT) para obtener acceso al firmware de Cisco Adaptive Security Appliance (ASA) mediante la explotaci\u00f3n de fallas de seguridad ahora parcheadas, como:<\/p>\n<ul>\n<li><strong>CVE-2025-20333<\/strong> (Puntuaci\u00f3n CVSS: 9,9): una validaci\u00f3n inadecuada de la vulnerabilidad de entrada proporcionada por el usuario que podr\u00eda permitir que un atacante remoto autenticado con credenciales de usuario de VPN v\u00e1lidas ejecute c\u00f3digo arbitrario como root en un dispositivo afectado mediante el env\u00edo de solicitudes HTTP dise\u00f1adas.<\/li>\n<li><strong>CVE-2025-20362<\/strong> (Puntuaci\u00f3n CVSS: 6,5): una validaci\u00f3n inadecuada de la vulnerabilidad de entrada proporcionada por el usuario que podr\u00eda permitir que un atacante remoto no autenticado acceda a puntos finales de URL restringidos sin autenticaci\u00f3n mediante el env\u00edo de solicitudes HTTP dise\u00f1adas.<\/li>\n<\/ul>\n<p>\u00abFIRESTARTER puede persistir como una amenaza activa en dispositivos Cisco que ejecutan software ASA o Firepower Threat Defense (FTD), manteniendo la persistencia posterior a la aplicaci\u00f3n de parches y permitiendo a los actores de amenazas volver a acceder a los dispositivos comprometidos sin volver a explotar las vulnerabilidades\u00bb, dijeron las agencias.<\/p>\n<p>En el incidente investigado, se descubri\u00f3 que los actores de amenazas implementaron un conjunto de herramientas posteriores a la explotaci\u00f3n llamado <a href=\"https:\/\/thehackernews.com\/2025\/09\/cisco-asa-firewall-zero-day-exploits.html\">LINE VIPER que puede ejecutar comandos CLI, realizar capturas de paquetes, omitir la autenticaci\u00f3n, autorizaci\u00f3n y contabilidad de VPN (AAA) para dispositivos actores, suprimir mensajes syslog, recopilar comandos CLI de usuarios y forzar un reinicio retrasado.<\/a><\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/ai-blindspot-d-2\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjXdwBgwvGAvD2t1bXXwTy6zsfnReMp12VglYCBAv0j9Tc0_gLKPqF5HJO1kOv26ZcGRlQJ1kRXGvtIusmtnUGUjonzq8YEigkMhMJvk_Cta9TYHzMvqVfa5SvoH-Z9-kw5VEH8sPeI1YKKrzFeNYp0Cn7mEGMn6PXOs0waZDIWKI5nccOxPyJR8MDQMasu\/s728-e100\/nudge-d-2.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El acceso elevado proporcionado por LINE VIPER sirvi\u00f3 como conducto para FIRESTARTER, que se implement\u00f3 en el dispositivo Firepower antes del 25 de septiembre de 2025, lo que permiti\u00f3 a los actores de amenazas mantener un acceso continuo y regresar al dispositivo comprometido el mes pasado.<\/p>\n<p>FIRESTARTER, un binario ELF de Linux, puede configurar la persistencia en el dispositivo y sobrevivir a las actualizaciones de firmware y reinicios del dispositivo a menos que se produzca un ciclo de encendido completo. El malware se aloja en la secuencia de inicio del dispositivo manipulando una lista de montaje de inicio, lo que garantiza que se reactiva autom\u00e1ticamente cada vez que el dispositivo se reinicia normalmente. Dejando a un lado la resistencia, tambi\u00e9n comparte cierto nivel de superposici\u00f3n con un kit de arranque previamente documentado denominado RayInitiator.<\/p>\n<p>\u00abFIRESTARTER intenta instalar un gancho, una forma de interceptar y modificar las operaciones normales, dentro de LINA, el motor central del dispositivo para el procesamiento de red y las funciones de seguridad\u00bb, seg\u00fan el aviso. \u00abEste gancho permite la ejecuci\u00f3n de c\u00f3digo shell arbitrario proporcionado por los actores APT, incluido el despliegue de LINE VIPER\u00bb.<\/p>\n<p>\u00abAunque los parches de Cisco abordaron CVE-2025-20333 y CVE-2025-20362, los dispositivos comprometidos antes de la aplicaci\u00f3n del parche pueden seguir siendo vulnerables porque las actualizaciones de firmware no eliminan FIRESTARTER\u00bb.<\/p>\n<p>Cisco, que est\u00e1 rastreando la actividad de explotaci\u00f3n asociada con las dos vulnerabilidades bajo el nombre de UAT4356 (tambi\u00e9n conocido como Storm-1849), <a href=\"https:\/\/blog.talosintelligence.com\/uat-4356-firestarter\/\">descrito<\/a> FIRESTARTER como puerta trasera que facilita la ejecuci\u00f3n de shellcode arbitrario recibido por el proceso LINA al analizar solicitudes de autenticaci\u00f3n WebVPN especialmente dise\u00f1adas que contienen un \u00abpaquete m\u00e1gico\u00bb.<\/p>\n<p>Se desconocen los or\u00edgenes exactos de la actividad de la amenaza, aunque un an\u00e1lisis de la plataforma de gesti\u00f3n de superficies de ataque Censys en mayo de 2024 sugiri\u00f3 v\u00ednculos con China. UAT4356 se atribuy\u00f3 por primera vez a una campa\u00f1a llamada ArcaneDoor que explotaba dos fallas de d\u00eda cero en los equipos de red de Cisco para entregar malware personalizado capaz de capturar el tr\u00e1fico y el reconocimiento de la red.<\/p>\n<p>\u00abPara eliminar por completo el mecanismo de persistencia, Cisco recomienda encarecidamente volver a crear una imagen y actualizar el dispositivo\u00bb, dijo Cisco. <a href=\"https:\/\/sec.cloudapps.cisco.com\/security\/center\/content\/CiscoSecurityAdvisory\/cisco-sa-asaftd-persist-CISAED25-03\">dicho<\/a>. \u00abEn casos de compromiso confirmado en cualquier plataforma Cisco Secure ASA o FTD, todos los elementos de configuraci\u00f3n del dispositivo deben considerarse no confiables\u00bb.<\/p>\n<p>Como medidas de mitigaci\u00f3n hasta que se puedan realizar nuevas im\u00e1genes, la compa\u00f1\u00eda recomienda que los clientes realicen un reinicio en fr\u00edo para retirar el implante FIRESTARTER. \u00abLos comandos CLI de apagar, reiniciar y recargar no eliminar\u00e1n el implante malicioso persistente; se debe desconectar el cable de alimentaci\u00f3n y volver a enchufarlo al dispositivo\u00bb, agreg\u00f3.<\/p>\n<h3>Los piratas inform\u00e1ticos chinos pasan de la infraestructura adquirida individualmente a las redes encubiertas<\/h3>\n<p>La divulgaci\u00f3n se produce cuando Estados Unidos, el Reino Unido y varios socios internacionales <a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa26-113a\">liberado<\/a> un aviso conjunto sobre redes a gran escala de enrutadores SOHO y dispositivos IoT comprometidos requisados \u200b\u200bpor actores de amenazas del nexo con China para disfrazar sus ataques de espionaje y complicar los esfuerzos de atribuci\u00f3n.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Grupos patrocinados por el estado como Volt Typhoon y Flax Typhoon han estado utilizando estas botnets, que consisten en enrutadores dom\u00e9sticos, c\u00e1maras de seguridad, grabadoras de video y otros dispositivos de IoT, para apuntar a sectores de infraestructura cr\u00edticos y realizar ciberespionaje de una \u00abmanera negable, de bajo costo y bajo costo\u00bb, seg\u00fan la alerta. <\/p>\n<p>Lo que complica a\u00fan m\u00e1s las cosas es el hecho de que las redes se actualizan constantemente, sin mencionar que varios grupos de amenazas afiliados a China pueden usar la misma botnet al mismo tiempo, lo que dificulta que los defensores los identifiquen y bloqueen mediante listas de bloqueo de IP est\u00e1ticas.<\/p>\n<p>\u00abLas redes encubiertas consisten principalmente en enrutadores SOHO comprometidos, pero tambi\u00e9n incorporan cualquier dispositivo vulnerable que puedan explotar a escala\u00bb, dijeron las agencias. \u00abSu tr\u00e1fico ser\u00e1 reenviado a trav\u00e9s de m\u00faltiples dispositivos comprometidos, utilizados como nodos transversales, antes de salir de la red desde un nodo de salida, generalmente en la misma regi\u00f3n geogr\u00e1fica que el objetivo\u00bb.<\/p>\n<p>Los hallazgos subrayan un patr\u00f3n com\u00fan observado en los ataques patrocinados por el estado: apuntar a dispositivos perimetrales de red pertenecientes a redes residenciales, empresariales y gubernamentales con el objetivo de convertirlos en un nodo proxy o interceptar datos y comunicaciones confidenciales.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado que el dispositivo Cisco Firepower de una agencia civil federal an\u00f3nima que ejecuta el software Adaptive Security Appliance (ASA) se vio comprometido en septiembre de 2025 con un malware llamado INICIO DEL FUEGO. FIRESTARTER, seg\u00fan CISA y el Centro Nacional de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":576,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[62,24,647,706,2094,2092,2093,52,713,32,104,2095,33],"class_list":["post-669","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cisco","tag-cyberdefensa-mx","tag-dispositivo","tag-federal","tag-firepower","tag-firestarter","tag-golpeo","tag-los","tag-parches","tag-puerta","tag-seguridad","tag-sobrevive","tag-trasera"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/669","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=669"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/669\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/576"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=669"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=669"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=669"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}