FIRESTARTER Hintertür

Von Mezo in Hintertür-Viren, Erweiterte, anhaltende Bedrohung (APT)

Übersetzen Sie in:

Cybersicherheitsexperten haben bekannt gegeben, dass eine nicht namentlich genannte zivile Bundesbehörde im September 2025 Opfer eines Angriffs auf ein Cisco Firepower-Gerät wurde, auf dem die Software Adaptive Security Appliance (ASA) lief. Die Ermittler identifizierten eine bisher unbekannte Malware-Variante namens FIRESTARTER, die für verdeckten Fernzugriff und langfristige Kontrolle über betroffene Systeme entwickelt wurde.

Es wird angenommen, dass der Einbruch Teil einer umfassenderen Kampagne einer Advanced Persistent Threat (APT)-Gruppe ist, die es auf die Cisco ASA-Firmware abgesehen hat, indem sie bekannte Schwachstellen ausnutzte, die später behoben wurden.

Inhaltsverzeichnis

Erster Einbruch durch hochriskante Cisco-Schwachstellen

Berichten zufolge nutzten Angreifer zwei schwerwiegende Sicherheitslücken von Cisco aus, um sich Zugang zu ungeschützten Geräten zu verschaffen:

CVE-2025-20333 (CVSS 9.9): Unzureichende Eingabevalidierung ermöglicht es einem authentifizierten Remote-Angreifer mit gültigen VPN-Zugangsdaten, über speziell präparierte HTTP-Anfragen beliebigen Code als Root auszuführen.
CVE-2025-20362 (CVSS 6.5): Unzureichende Eingabevalidierung ermöglicht es einem nicht authentifizierten Remote-Angreifer, über speziell präparierte HTTP-Anfragen auf geschützte URL-Endpunkte zuzugreifen.

Auch wenn Patches verfügbar sind, können Systeme, die vor der Behebung der Sicherheitslücke kompromittiert wurden, weiterhin gefährdet sein.

FIRESTARTER ermöglicht dauerhaften Zugriff nach dem Patch

FIRESTARTER zeichnet sich dadurch aus, dass es Firmware-Upgrades und normale Neustarts übersteht. Die Malware nistet sich in den Startvorgang ein, indem sie die Mount-Sequenz des Geräts verändert und so eine automatische Reaktivierung bei jedem normalen Neustart ermöglicht.

Nur ein vollständiger Neustart kann das Implantat vorübergehend unterbrechen. Standardmäßige Befehle zum Herunterfahren, Neuladen oder Neustarten entfernen es nicht. Forscher stellten außerdem Ähnlichkeiten zwischen FIRESTARTER und einem früheren Bootkit namens RayInitiator fest.

Manipulation tiefer Systeme durch LINA-Hooking

Die Ermittler stellten fest, dass FIRESTARTER versucht, einen Hook in LINA einzuschleusen, die Kernkomponente, die für die Netzwerkverarbeitung und Sicherheitsoperationen von Cisco ASA zuständig ist. Diese Manipulation ermöglicht es Angreifern, normale Funktionen abzufangen und beliebigen Shellcode auszuführen, der über speziell präparierte WebVPN-Authentifizierungsanfragen mit einem sogenannten „Magic Packet“ übermittelt wird.

Dieser Mechanismus ermöglicht es, dass schädliche Aktivitäten auch nach der Behebung von Sicherheitslücken fortgesetzt werden.

LINE VIPER Toolkit erweitert die Fähigkeiten des Angreifers

Im Zuge desselben Vorfalls setzten die Angreifer ein Post-Exploitation-Framework namens LINE VIPER ein, das die Kontrolle über die kompromittierte Umgebung erheblich erweiterte. Das Toolkit führte folgende Aktionen aus:

Ausführen von CLI-Befehlen
Erfassung des Netzwerkverkehrs
Umgehung von VPN-Authentifizierung, -Autorisierung und -Abrechnung (AAA) für vom Angreifer kontrollierte Geräte
Unterdrückung von Syslog-Warnungen
Erfassung der CLI-Aktivität des Administrators
Erzwingen verzögerter Systemneustarts

Die durch LINE VIPER gewährten erweiterten Berechtigungen ebneten Berichten zufolge den Weg für den Einsatz von FIRESTARTER vor dem 25. September 2025. Angreifer konnten noch im Vormonat auf das Gerät zurückkehren.

Verbindungen zu umfassenderen Spionageoperationen

Forscher, die die unter der Bezeichnung UAT4356 (auch bekannt als Storm-1849) durchgeführten Angriffe verfolgten, stellten eine Verbindung zu früheren Kampagnen her. Frühere Einschätzungen vom Mai 2024 deuteten auf mögliche Verbindungen nach China hin.

Dieser Cluster wurde zuvor mit ArcaneDoor in Verbindung gebracht, einer Kampagne, die zwei Zero-Day-Schwachstellen von Cisco ausnutzte, um eigens entwickelte Malware zur Aufklärung und zum Abfangen von Netzwerkverkehr einzusetzen.

Wichtige Abhilfemaßnahmen für betroffene Organisationen

Sicherheitsexperten raten dringend davon ab, jede bestätigte Kompromittierung von Cisco Secure ASA- oder Firepower Threat Defense (FTD)-Plattformen als vollständigen Vertrauensverlust zu behandeln. Bestehende Gerätekonfigurationen sollten als unzuverlässig betrachtet werden.

Um FIRESTARTER vollständig zu entfernen, sollten Unternehmen betroffene Geräte neu aufsetzen und auf die korrigierten Softwareversionen von Cisco aktualisieren. Bis zur Neuinstallation wird ein Kaltstart empfohlen, indem die Stromversorgung des Geräts physisch getrennt und wiederhergestellt wird, da softwarebasierte Neustartbefehle die persistente Schadsoftware nicht entfernen.

Der Insolvenzantrag des Zahlungsabwicklers Digital River GmbH von EnigmaSoft hat keine Auswirkungen auf den Anti-Malware-Schutz der SpyHunter-Kunden

Suche

Region ändern

FIRESTARTER Hintertür

Erster Einbruch durch hochriskante Cisco-Schwachstellen

FIRESTARTER ermöglicht dauerhaften Zugriff nach dem Patch

Manipulation tiefer Systeme durch LINA-Hooking

LINE VIPER Toolkit erweitert die Fähigkeiten des Angreifers

Verbindungen zu umfassenderen Spionageoperationen

Wichtige Abhilfemaßnahmen für betroffene Organisationen

Kommentar abgeben

Im Trend

SnappyClient Malware

Gefälschte Spotify Rewards-Website

PayPal-PDF-E-Mail-Betrug

Am häufigsten gesehen

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...

Fuq.com