CISA emette la direttiva di emergenza V1-ED-25-03 per identificare e mitigare compromissioni persistenti su dispositivi Cisco ASA, Firepower e Secure Firewall. L’agenzia aggiorna la direttiva originaria dopo aver verificato che la backdoor FIRESTARTER può restare attiva anche dopo l’applicazione delle patch per CVE-2025-20333 e CVE-2025-20362. Il problema riguarda dispositivi esposti pubblicamente e impone nuove azioni obbligatorie agli enti federali civili. La sola installazione degli aggiornamenti Cisco non basta più: servono core dump, analisi, patch dedicate e hard reset fisici.
Cosa leggere
CISA aggiorna V1-ED-25-03 per contrastare compromissioni persistenti Cisco
La direttiva V1-ED-25-03 entra in vigore il 23 aprile 2026 e si applica ai sistemi informativi federali che gestiscono dati delle agenzie civili ed esecutive. Restano esclusi i sistemi di sicurezza nazionale, quelli del Dipartimento della Guerra e quelli della Comunità di Intelligence. CISA valuta la minaccia come rischio inaccettabile perché coinvolge firewall di bordo e dispositivi di sicurezza esposti a Internet. Gli enti devono censire gli asset, inviare core dump per l’analisi e applicare procedure specifiche di mitigazione. La nuova versione supera le azioni precedenti perché la persistenza di FIRESTARTER richiede interventi più profondi.
FIRESTARTER mantiene accesso anche dopo le patch standard
La backdoor FIRESTARTER rappresenta il punto centrale della nuova direttiva. Gli attori di minaccia sfruttano CVE-2025-20333 per l’esecuzione di codice remoto e CVE-2025-20362 per l’escalation di privilegi su piattaforme Cisco con software ASA o FTD. Dopo la compromissione, il malware può mantenere persistenza anche se gli amministratori installano gli aggiornamenti ufficiali. Questo comportamento rende insufficiente la normale gestione patch e impone una sequenza più rigorosa di rilevamento, correzione e rimozione. I dispositivi compromessi devono essere disconnessi dalla rete senza essere spenti, così da preservare evidenze utili alle attività forensi.
Cisco ASA richiede core dump e verifica degli asset esposti
Gli enti devono identificare tutte le piattaforme Cisco ASA, incluse appliance hardware, ASA-Service Module, ASA Virtual e ASAv esposte pubblicamente. Per i dispositivi hardware pubblici, CISA richiede la raccolta dei core dump e l’invio tramite il portale Malware Next Gen. Se l’analisi restituisce “Compromise Detected”, il dispositivo deve essere isolato immediatamente dalla rete ma mantenuto acceso. L’ente deve segnalare l’incidente e collaborare con CISA per risposta, forensics ed eviction. Se non viene rilevata compromissione, gli amministratori devono comunque verificare stato di supporto, aggiornamenti disponibili e piani di decommissioning.
Firepower e Secure Firewall hanno scadenze urgenti ad aprile 2026
La versione aggiornata della direttiva introduce requisiti specifici per Cisco Firepower 1000, 2100, 4100, 9300 e per Secure Firewall 200, 1200, 3100, 4200 e 6100 esposti pubblicamente. Gli enti devono inviare i core dump entro le 23:59 EST del 24 aprile 2026. In caso di compromissione, il dispositivo va scollegato subito dalla rete senza spegnerlo. Se il risultato è “No Compromise Detected”, gli amministratori devono installare gli aggiornamenti Cisco più recenti, inclusi quelli per CVE-2025-20333, CVE-2025-20362 e per la persistenza. Entro il 30 aprile 2026 è richiesto anche un hard reset fisico.
Hard reset fisico diventa essenziale per eliminare FIRESTARTER
La novità più importante della direttiva riguarda la sequenza patch e hard reset. FIRESTARTER può resistere ai reboot ordinari, quindi il semplice riavvio non garantisce la rimozione della backdoor. CISA richiede lo scollegamento fisico dell’alimentazione dopo l’applicazione della patch dedicata, perché solo questa procedura consente di eliminare la persistenza dal dispositivo. Gli amministratori devono seguire l’ordine indicato senza scorciatoie: aggiornamento, verifica, hard reset fisico e monitoraggio successivo. La direttiva include istruzioni anche per i casi in cui l’hard reset non possa essere eseguito immediatamente dopo l’installazione della patch.
Reporting e inventario rafforzano la visibilità federale
La direttiva impone un reporting ampliato per aumentare la visibilità centrale di CISA sullo stato dei dispositivi. Gli enti devono fornire inventario completo dei prodotti in scope, azioni intraprese e risultati ottenuti. Il requisito include anche dispositivi ospitati in ambienti cloud terzi, compresi quelli autorizzati FedRAMP. Le agenzie responsabili di contratti con fornitori esterni devono aggiornare gli accordi per garantire conformità. Questo passaggio è essenziale perché molte infrastrutture federali dipendono da servizi gestiti e asset distribuiti, dove la mancanza di inventario può ritardare la risposta a una compromissione.
CISA coordina incident response e analisi forense
Gli enti che rilevano una compromissione devono collaborare direttamente con CISA per incident response, forensics e rimozione completa del threat actor. Il portale Malware Next Gen consente l’invio sicuro dei core dump e supporta l’analisi centralizzata. La direttiva raccomanda di non spegnere i dispositivi compromessi nelle prime fasi, perché informazioni volatili potrebbero andare perse. Il coordinamento con CISA permette di uniformare le procedure di risposta e ridurre il rischio che residui della backdoor restino attivi. Questo approccio è particolarmente importante sui firewall, dove una persistenza non rilevata può esporre reti intere.
Le scadenze ravvicinate impongono priorità operative immediate
Le tempistiche definite da V1-ED-25-03 obbligano gli enti a mobilitare rapidamente team di sicurezza, networking e procurement. I core dump per Firepower e Secure Firewall devono essere inviati entro il 24 aprile 2026, mentre l’hard reset fisico deve essere completato entro il 30 aprile 2026. Le organizzazioni con flotte numerose devono dare priorità ai dispositivi esposti pubblicamente e ai modelli più critici. Chi non può rispettare le scadenze per esigenze mission-critical deve comunicarlo a CISA con un piano alternativo concreto. La direttiva lascia spazio alla gestione operativa, ma non alla mancata mitigazione.
Le mitigazioni riducono il rischio su firewall di bordo federali
La combinazione di core dump, patch dedicate, hard reset fisico, reporting e monitoraggio riduce in modo significativo il rischio di compromissione persistente. Dopo la rimozione, gli amministratori devono continuare a controllare attività anomale, applicare aggiornamenti Cisco entro 48 ore dal rilascio e verificare la conformità dei dispositivi end-of-support. La direttiva richiama anche l’importanza di mantenere inventari aggiornati e procedure di decommissioning chiare. La sicurezza dei firewall di bordo dipende dalla capacità di eliminare rapidamente componenti non più supportati o non più affidabili.
V1-ED-25-03 rafforza la risposta federale alle minacce evasive
La direttiva V1-ED-25-03 conferma l’approccio proattivo di CISA contro minacce capaci di sopravvivere alle patch standard. La backdoor FIRESTARTER dimostra che la compromissione di dispositivi perimetrali può richiedere procedure più invasive rispetto a un normale aggiornamento software. Per gli enti federali, la priorità è identificare subito gli asset esposti, analizzare i core dump, applicare gli aggiornamenti corretti e completare l’hard reset fisico. La misura protegge dati sensibili, continuità operativa e infrastrutture critiche, imponendo una risposta uniforme contro una minaccia persistente e già attiva.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
