MalwareSchwachstellenHackerangriffe

FIRESTARTER-Backdoor: Kritische Bedrohung für Cisco-Firewalls auch nach Sicherheits-Updates

FIRESTARTER-Backdoor: Kritische Bedrohung für Cisco-Firewalls auch nach Sicherheits-Updates
Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA und das britische National Cyber Security Centre haben einen bemerkenswerten Sicherheitsvorfall offengelegt, der die Kritikalität moderner Netzwerkinfrastruktur unterstreicht: Eine Cisco-Firewall einer US-Bundesbehörde wurde im September 2025 mit der Malware FIRESTARTER kompromittiert, einem hochentwickelten Backdoor, der auch nach Sicherheitspatches bestehen bleibt. Das Besondere an dieser Bedrohung ist ihre Fähigkeit, die Firmware von Cisco ASA- und Firepower-Geräten zu durchdringen und persistente Zugriffe zu bewahren – selbst nach Systemneustarts und Sicherheitsupdates. Experten vermuten dahinter eine staatlich unterstützte Bedrohungsgruppe mit Verbindungen zu China, die im Rahmen einer breit angelegten Kampagne auf kritische Netzwerk-Perimeterschutzgeräte abzielt. Für deutsche Unternehmen und Behörden ist diese Entwicklung erheblich relevant, da viele Cisco-Geräte auch hierzulande in kritischen Infrastrukturen wie Finanzsektor, Energiewirtschaft und Telekommunikation eingesetzt werden. Die Tatsache, dass bisherige Patches FIRESTARTER nicht vollständig entfernen, erfordert ein Umdenken bei Patch-Management-Strategien und macht ein komplettes Reimaging kompromittierter Geräte notwendig.

Die Entdeckung von FIRESTARTER markiert einen neuen Stufe in der Cyber-Bedrohungslandschaft. Das Linux-ELF-Binary wurde als Teil einer breit angelegten Kampagne eines fortgeschrittenen Angreifers (APT) eingesetzt, um anhaltende Kontrolle über kompromittierte Netzwerk-Geräte zu erlangen. Die besondere Gefahr: Selbst nach dem Einspielen offizieller Sicherheits-Updates bleibt die Malware aktiv, wenn das Gerät vorher kompromittiert wurde.

Die Infektionsmechanismen sind technisch raffiniert. FIRESTARTER manipuliert die Startup-Mount-Liste des Geräts und integriert sich damit in die Boot-Sequenz. Dies ermöglicht es dem Schädling, sich bei jedem normalen Neustart automatisch zu reaktivieren – ein Verhalten, das an einen bereits dokumentierten Bootkit namens RayInitiator erinnert. Besonders perfide: Das Malware-Programm setzt einen Hook in LINA, das Kern-Engine des Geräts für Netzwerkverarbeitung und Sicherheitsfunktionen, um willkürliche Shellcode-Befehle auszuführen.

Bei der Kompromittierung kam ein Post-Exploitation-Toolkit namens LINE VIPER zum Einsatz. Dieses Tool erlaubte es den Angreifern, CLI-Befehle auszuführen, Paketerfassungen durchzuführen, VPN-Authentifizierung zu umgehen und sogar System-Logging zu unterdrücken – eine umfangreiche Arsenal für tiefe Netzwerk-Infiltration.

Cisco hat die Exploits unter dem internen Code UAT4356 registriert, bekannt auch als Storm-1849. Betroffen sind die Schwachstellen CVE-2025-20333 und CVE-2025-20362. Einige Analysten vermuten basierend auf Censys-Forschungen aus Mai 2024 eine Verbindung zu chinesischen Bedrohungsakteuren – ähnlich wie bei der früheren “ArcaneDoor”-Kampagne.

Cisco empfiehlt als grundlegende Maßnahme ein vollständiges Re-Imaging der betroffenen Geräte. Als Übergangslösung wird ein Hard-Power-Cycle (Stromkabel ziehen und wieder anstecken) empfohlen – normale Shutdown- oder Reboot-Befehle reichen nicht aus. Dies unterstreicht die Hartnäckigkeit des Schädlings.

Die Vorkommnisse fügen sich in einen größeren Kontext state-sponsored Cyberangriffe ein. Parallel wurden joint Advisories über kompromittierte SOHO-Router und IoT-Geräte veröffentlicht, die als Proxy-Netzwerke für chinesische Bedrohungsakteure dienen. Diese Taktik erlaubt es Angreifern, ihre Spionage-Aktivitäten zu tarnen und die Attribution zu erschweren.

Ähnliche Artikel