Cisco melder at skadevaren er en persistent bakdør som ved vellykket kompromittering tillater vedvarende fjerntilgang til systemet, og har unngått sikkerhetsoppdateringer.

Varselet kommer på bakgrunn et varsel fra CISA, med tilhørende skadevarerapport i samarbeid med NCSC-UK på skadevaren FIRESTARTER. Trusselaktører har i følge CISA og NCSC-UK sannsynligvis kompromittert enheter gjennom utnyttelse av sårbarhetene CVE-2025-20333 og CVE-2025-20362 før sikkerhetsoppdatering, og har omgått påfølgende sikkerhetsoppdateringer fra Cisco på disse sårbarhetene. NSM varslet om aktiv utnyttelse av disse sårbarhetene i september 2025.

FIRESTARTER kobles til trusselaktøren fulgt som UAT-4356 av Cisco Talos, som knyttes til den statssponsede spionasje-kampanjen ArcaneDoor, først omtalt i april 2024.

Cisco Secure Firewall ASA og Cisco Secure FTD på følgende hardware-plattformer er påvirket, uavhengig av enhetskonfigurasjonene:

    - Firepower 1000 Series

    - Firepower 2100 Series

    - Firepower 4100 Series

    - Firepower 9300 Series

    - Secure Firewall 1200 Series

    - Secure Firewall 3100 Series

    - Secure Firewall 4200 Series

NSM anbefaler virksomheter som har disse enhetene å gjennomføre undersøkelsene og workaround beskrevet i detalj på Cisco sine nettsider, uavhengig av tidligere gjennomførte sikkerhetsoppdateringer. Skadevarerapporten fra CISA og NCSC-UK inneholder ytterligere anbefalinger på deteksjon og mitigerende tiltak.

Ved funn av FIRESTARTER ønsker NSM å bli varslet.