Die Bedrohung ist ernst: Zum ersten Mal bestätigt CISA offiziell, dass mindestens eine US-Bundesbehörde mit dem Firestarter-Backdoor kompromittiert wurde. Der Trojaner ist Teil einer koordinierten China-gelinkten Spionagekampagne namens ArcaneDoor, die Cisco-Firewalls systematisch ausnutzt.
Die technische Komponente dieser Attacke ist bemerkenswert. Firestarter installiert einen “Hook” im Lina-Engine – dem Kernmodul der Firewall für Netzwerkverarbeitung – und ermöglicht es Angreifern, beliebigen Code auszuführen. Dies verschafft der APT-Gruppe (Advanced Persistent Threat) namens UAT-4356 tiefe Kontrolle über das Netzwerk. Der Backdoor ähnelt dem RayInitiator-Bootkit und erreicht Persistenz durch Manipulation der Mount-Liste des Cisco Service Platform, was Programm-Ausführung beim Start ermöglicht.
Was die Gefahr erhöht: Das Patchen der Firmware entfernt die bereits installierte Malware nicht. Geräte, die vor der Patching-Aktion kompromittiert wurden, bleiben anfällig. CISA hat daher in seiner aktualisierten Directive 25-03 konkrete Maßnahmen angeordnet: Alle betroffenen Bundesbehörden müssen Geräte-Core-Dumps in das “Malware Next Gen”-Portal hochladen, um Kompromittierungen zu verifizieren. Deadline ist der 24. April 2026. Zusätzlich sind Hard-Resets bis 30. April erforderlich.
Betroffene Systeme sind Firepower-Serien 1000, 2100, 4100, 9300 sowie Secure Firewall-Modelle 200, 1200, 3100, 4200 und 6100. Diese sind weltweit verbreitet – auch in deutschen Regierungsnetzen und Unternehmen.
Die gute Nachricht: Der Firestarter-Backdoor kann durch einen vollständigen Hard-Reset (Stromausfall, Neustart) entfernt werden. Danach muss die aktuelle Firmware eingespielt werden. Für deutsche Organisationen bedeutet dies: Sofortige Überprüfung des Cisco-Bestands, Identifikation gefährdeter Geräte und zeitnahe Remediation. CISA stellt entsprechende Analysewerkzeuge bereit. Angesichts der staatlichen Natur dieser Kampagne ist Vorsicht geboten – Angreifer könnten bereits Zugang zu sensiblen Daten erhalten haben.