Backdoor übersteht Patches auf Cisco-Firepower-Geräten : FIRESTARTER hält sich tief im Startprozess und erzwingt neue Incident-Response-Regeln

Die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat gemeinsam mit dem britischen National Cyber Security Centre (NCSC) eine neue Malware offengelegt, die im September 2025 auf einem Cisco-Firepower-Gerät einer nicht genannten zivilen Bundesbehörde entdeckt wurde. Das Gerät lief mit Cisco-Adaptive-Security-Appliance- (ASA)Software. Die Malware trägt den Namen FIRESTARTER und wird als Backdoor für Fernzugriff und Kontrolle bewertet.

Besonders brisant ist nicht nur der Einstieg über inzwischen geschlossene Schwachstellen, sondern die Beständigkeit nach der Kompromittierung. Die Behörden warnen: „FIRESTARTER kann als aktive Bedrohung auf Cisco-Geräten mit ASA oder Firepower Threat Defense bestehen bleiben, nach dem Patchen weiterleben und Angreifern den erneuten Zugriff ermöglichen, ohne Schwachstellen erneut ausnutzen zu müssen.“

Ausgenutzte Schwachstellen als Einfallstor

Nach Einschätzung der Behörden ist FIRESTARTER Teil einer breiter angelegten Kampagne eines fortgeschrittenen, dauerhaft aktiven Bedrohungsakteurs. Ziel war der Zugriff auf Cisco-ASA-Firmware. Ausgenutzt wurden unter anderem folgende inzwischen gepatchte Schwachstellen:

• Common Vulnerabilities and Exposures (CVE) 2025-20333, Common Vulnerability Scoring System (CVSS) 9,9: Eine fehlerhafte Prüfung nutzerseitiger Eingaben kann es einem authentifizierten entfernten Angreifer mit gültigen Zugangsdaten für ein virtuelles privates Netzwerk ermöglichen, durch präparierte Hypertext-Transfer-Protocol-Anfragen beliebigen Code mit Root-Rechten auszuführen.
• CVE 2025-20362, CVSS 6,5: Eine fehlerhafte Prüfung nutzerseitiger Eingaben kann es einem nicht authentifizierten entfernten Angreifer ermöglichen, durch präparierte HTP-Protocol-Anfragen auf geschützte URL-Endpunkte zuzugreifen.

Diese Schwachstellen erklären den Erstzugriff, aber nicht die eigentliche Gefahr. Denn ein Gerät, das vor dem Patch kompromittiert wurde, kann trotz aktualisierter Firmware weiter unter Kontrolle des Angreifers stehen. Genau an dieser Stelle verschiebt sich die Verteidigung von klassischem Patch-Management hin zu vollständiger Integritätsprüfung, Neuinstallation und forensischer Bewertung.

LINE VIPER als Werkzeugkasten nach der Kompromittierung

Im untersuchten Vorfall setzten die Angreifer zusätzlich das Post-Exploitation-Werkzeug LINE VIPER ein. Es verschafft weitreichende Kontrolle über das Gerät und kann Befehle über die Kommandozeilenschnittstelle ausführen, Paketmitschnitte erstellen, die Authentifizierung, Autorisierung und Abrechnung für Geräte der Angreifer im virtuellen privaten Netzwerk umgehen, Syslog-Meldungen unterdrücken, Kommandozeilenbefehle von Nutzern abgreifen und einen verzögerten Neustart erzwingen.

Diese Fähigkeiten zeigen, warum kompromittierte Perimetergeräte für Angreifer so wertvoll sind. Sie sitzen an einer Stelle, an der Verkehr gebündelt, gefiltert und weitergeleitet wird. Wer dort dauerhaft Zugriff hat, kann nicht nur Systeme erreichen, sondern auch Spuren reduzieren und Sicherheitskontrollen umgehen, die an Endpunkten oder Identitäten ansetzen.

Persistenz im Startprozess statt klassische Dateiablage

 FIRESTARTER ist eine Linux-Binärdatei im Executable-and-Linkable-Format. Sie richtet Persistenz auf dem Gerät ein und übersteht Firmware-Aktualisierungen sowie normale Neustarts.

Technisch verankert sich die Malware in der Startsequenz des Geräts. Sie manipuliert eine Mount-Liste für den Systemstart und reaktiviert sich dadurch bei jedem normalen Neustart. Dieses Verhalten weist Überschneidungen mit dem bereits dokumentierten Bootkit RayInitiator auf. Die Behörden beschreiben zudem, dass FIRESTARTER versucht, einen Hook in LINA zu installieren. LINA ist der Kernprozess für Netzwerkverarbeitung und Sicherheitsfunktionen auf den betroffenen Cisco-Geräten. Über diesen Hook kann beliebiger Shellcode ausgeführt werden, darunter auch die Bereitstellung von LINE VIPER.

Cisco verfolgt die Aktivität unter der Bezeichnung UAT4356, auch bekannt als Storm-1849. Das Unternehmen beschreibt den Mechanismus als Backdoor, die speziell präparierte Web-VPN-Authentifizierungsanfragen mit einem sogenannten Magic Packet auswertet und darüber Shellcode an den LINA-Prozess übergibt.

Reimaging statt blindem Vertrauen in Patches

Cisco formuliert die Konsequenz ungewöhnlich deutlich: „Um den Persistenzmechanismus vollständig zu entfernen, empfiehlt Cisco dringend, das Gerät mit den bereinigten Versionen neu aufzusetzen und zu aktualisieren.“ Bei bestätigter Kompromittierung seien „alle Konfigurationselemente des Geräts als nicht vertrauenswürdig“ zu betrachten.

Bis zur Neuinstallation empfiehlt Cisco einen Kaltstart, um das FIRESTARTER-Implantat zu entfernen. Normale Befehle wie shutdown, reboot oder reload reichen nicht aus. Cisco stellt klar: „Das Stromkabel muss gezogen und wieder eingesteckt werden.“

Für Sicherheitsverantwortliche bedeutet das: Ein erfolgreicher Patch ist kein ausreichender Nachweis für Bereinigung. Betroffene Geräte müssen als potenziell kontrollierte Systeme behandelt werden. Konfigurationen, Zugangsdaten, Protokolle und angrenzende Vertrauensbeziehungen gehören in die Incident Response einbezogen.

China-nahe Akteure setzen auf verdeckte Infrastruktur

Die Veröffentlichung fällt mit einer gemeinsamen Warnung der Vereinigten Staaten, des Vereinigten Königreichs und weiterer internationaler Partner zusammen. Darin geht es um große Netze kompromittierter Router für kleine Büros und Heimarbeitsplätze, sowie Geräte aus dem Internet der Dinge. China-nahe Bedrohungsgruppen sollen diese Infrastruktur nutzen, um Spionageangriffe zu tarnen und die Zuordnung zu erschweren.

Gruppen wie Volt Typhoon und Flax Typhoon verwenden demnach Heimrouter, Sicherheitskameras, Videorekorder und andere verwundbare Geräte als verdeckte Weiterleitungsnetze. Die Behörden schreiben: „Verdeckte Netzwerke bestehen meist aus kompromittierten Routern für kleine Büros und Heimarbeitsplätze, beziehen aber auch jedes andere verwundbare Gerät mit ein, das sich in großem Maßstab ausnutzen lässt.“

Statisches Blockieren von Internet-Protokoll-Adressen hilft hier kaum. Die Netze verändern sich laufend, mehrere China-nahe Gruppen können dieselbe Infrastruktur parallel nutzen, und der Datenverkehr wird über mehrere Zwischenknoten geleitet, bevor er über einen Ausgangsknoten in der geografischen Nähe des Zieles erscheint.

Perimetergeräte werden zum blinden Fleck

Der Fall FIRESTARTER verdeutlicht ein Muster staatlich unterstützter Angriffe: Netzwerkperimeter, Sicherheitsgateways und eingebettete Geräte werden nicht nur als Einstiegspunkt missbraucht, sondern als dauerhafte Operationsplattform. Sie liegen oft außerhalb klassischer Endpunkt- und Identitätsschutzsysteme, werden seltener aktualisiert und liefern Angreifern einen unauffälligen Zugang in sensible Umgebungen.

Sergey Shykevich von Check Point Software ordnet diese Entwicklung entsprechend ein. Aktivitäten mit China-Bezug hätten 2025 Edge- und Perimeterinfrastruktur als primären Zugangspunkt genutzt, weil diese Systeme schwerer sichtbar, weniger häufig gepatcht und besonders geeignet für langlebige Zugriffe seien:

„Unsere eigenen Untersuchungen zu Aktivitäten mit China-Bezug im Jahr 2026 – darunter Silver Dragon, das Regierungsorganisationen in Europa und Südostasien ins Visier nimmt, sowie Operation TrueChaos, bei der ein vertrauenswürdiger Kanal für Softwareaktualisierungen missbraucht wurde, um Schadsoftware in Regierungsnetzwerken zu verbreiten – zeigen beide dieselbe zugrunde liegende Logik: legitime Infrastruktur und vertrauenswürdige Kanäle nutzen, um bösartige Aktivitäten unsichtbar zu machen.“

Seine Folgerung ist klar: Erkennung allein reicht nicht. Wenn bösartiger Verkehr in einem kompromittierten Netzwerkgerät sichtbar wird, ist der Angreifer oft bereits seit Wochen oder Monaten im System.

Für Betreiber kritischer Infrastrukturen und Behörden verschärft sich damit die Pflicht, Perimetergeräte wie vollwertige Hochrisikosysteme zu behandeln: mit gehärteter Konfiguration, konsequenter Firmwarepflege, Integritätsprüfungen, vollständiger Neuinstallation nach bestätigtem Befall und sauberer Trennung privilegierter Zugriffe. Patchen bleibt notwendig, aber bei persistenter Malware ist es nur ein Teil der Bereinigung.

Weitere Artikel zum Thema: 

Rundumsicht oder blinde Flecken?

KI-gestützte Softwareentwicklung: Wie automatisch generierter Code neue Sicherheitsrisiken schafft