Backdoors/MalwareKritische InfrastrukturNetzwerk-Sicherheit

Firestarter-Backdoor übersteht Cisco-Sicherheitsupdates: Neue Malware mit gefährlichem Persistenz-Mechanismus

Firestarter-Backdoor übersteht Cisco-Sicherheitsupdates: Neue Malware mit gefährlichem Persistenz-Mechanismus
Zusammenfassung

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das britische National Cyber Security Centre (NCSC) warnen vor der Malware „Firestarter", die auf Cisco Firepower- und Secure Firewall-Geräten persistiert und selbst Sicherheitsupdates übersteht. Die Backdoor wird dem Bedrohungsakteur UAT-4356 zugeordnet, der für Cyberespionage-Kampagnen bekannt ist. Angreifer nutzen zwei kritische Sicherheitslücken (CVE-2025-20333 und CVE-2025-20362) aus, um zunächst die Line Viper Malware einzuschleusen, die Zugangsdaten und Zertifikate ausliest, bevor Firestarter für dauerhafte Persistenz installiert wird. Die Gefährlichkeit liegt in der Hartnäckigkeit: Firestarter hooks sich in den Kern-Prozess LINA ein und übersteht Neustarts, Firmware-Updates und Patches durch automatische Neuinstallation. Das Malware-Modul fungiert als Backdoor für Fernzugriff und kann Angreifer-Code direkt im Speicher ausführen. Für deutsche Unternehmen und Behörden mit Cisco-Sicherheitsappliances stellt dies ein erhebliches Risiko dar. Besonders kritisch sind Betreiber kritischer Infrastrukturen und Regierungseinrichtungen, bei denen solche Kompromittierungen weitreichende Konsequenzen haben können. Cisco empfiehlt dringend ein Neuaufsetzen und Upgraden betroffener Geräte sowie die Anwendung bereitgestellter Erkennungskriterien.

Die Sicherheitswarnung wurde von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) und dem britischen National Cyber Security Centre (NCSC) gemeinsam ausgegeben. Sie dokumentieren, wie gezielt Angreifer vorgehen, um dauerhafte Kontrolle über Netzwerk-Gateways zu erlangen.

Der Angriffsablauf folgt einem bewährten Muster: Zunächst setzen Angreifer eine Malware namens Line Viper ein — einen sogenannten Shellcode-Loader, der im Benutzer-Modus lädt. Mit diesem Tool verschaffen sich die Hacker Zugriff auf alle Konfigurationsdaten der kompromittierten Firepower-Geräte, einschließlich Admin-Passwörter, Zertifikate und privater Schlüssel. Diese Informationen sind wertvoll für eine tiefergehende Netzwerk-Infiltration.

Im zweiten Schritt wird die Firestarter-Malware als ELF-Binary auf dem Gerät installiert — und hier beginnt das Persistenz-Problem. Der Backdoor verankert sich so clever im System, dass selbst komplette Firmware-Updates und Neustarts ihn nicht entfernen. Die Malware manipuliert die Boot-Datei CSP_MOUNT_LIST und hookst sich in LINA, den Kern-Prozess von Cisco ASA, ein. Falls die Malware terminiert wird, triggert ein Signal-Handler automatisch eine Neustallation.

Die technische Analyse zeigt, dass Firestarter als Remote-Access-Backdoor funktioniert und zusätzlich beliebigen Shellcode des Angreifers ausführen kann. Dazu modifiziert die Malware XML-Handler und injiziert Code direkt in den RAM. Besonders gefährlich: Speziell konstruierte WebVPN-Requests können diese versteckten Funktionen aktivieren und zusätzliche Payloads laden.

CISA dokumentierte einen konkreten Angriff auf eine amerikanische Bundesbehörde im September 2025. Die Kompromittierung wurde erst bemerkt, nachdem bereits offizielle Patches hätten installiert sein sollen. Das zeigt: Selbst gut organisierte Institutionen können diesen Angriffen zum Opfer fallen.

Cisco empfiehlt als radikalste Lösung ein komplettes Neuaufsetzen der betroffenen Geräte mit aktuellen Versionen. Alternativ funktioniert ein kalter Neustart (Stromversorgung unterbrechen), um die Malware zu entfernen — allerdings mit erheblichem Risiko für Datenbeschädigungen. Cisco und die Sicherheitsbehörden stellen YARA-Regeln und Indikatoren bereit, um Kompromittierungen zu erkennen. Administratoren können mit dem Befehl ‘show kernel process | include lina_cs’ prüfen, ob ihre Geräte betroffen sind.

Ähnliche Artikel