Die unlöschbare Backdoor in Cisco-Firewalls: Malware FIRESTARTER

CISA und NCSC warnen vor der APT-Malware FIRESTARTER. Die Backdoor nistet sich tief in Cisco-Systemen ein und übersteht sogar Patches.

In einer gemeinsamen Aktion haben die US-amerikanische Behörde CISA und das britische National Cyber Security Centre (NCSC-UK) Details zu einer hochspezialisierten Backdoor veröffentlicht, die unter dem Namen FIRESTARTER firmiert. Das berichtete All About Security. Diese Schadsoftware zielt auf öffentlich erreichbare Edge-Geräte des Herstellers Cisco ab, insbesondere auf Firewalls der Serien Firepower und Secure Firewall. Die Warnung ist eindrücklich: FIRESTARTER ist so konzipiert, dass sie herkömmliche Reinigungsversuche und sogar Software-Updates übersteht.

Der Vorfall verdeutlicht eine strategische Verschiebung bei staatlich unterstützten Angreifern, die als Advanced Persistent Threats (APT) eingestuft werden. Anstatt lediglich Endpunkte hinter einer Firewall zu kompromittieren, nisten sich die Akteure direkt in der Sicherheits-Hardware selbst ein. Damit verwandelt sich die erste Verteidigungslinie eines Unternehmens in ein permanentes Spionagewerkzeug.

FIRESTARTER: Persistenz auf Systemebene

Technisch handelt es sich bei FIRESTARTER um eine Linux-ELF-Datei (Executable and Linkable Format), die speziell für die Architektur von Cisco-Firewalls entwickelt wurde. Die Malware greift tief in die LINA-Engine ein, den zentralen Prozess für die Paketverarbeitung unter den Betriebssystemen Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD). Einmal im System etabliert, fungiert FIRESTARTER als hocheffizienter Command-and-Control-Kanal (C2).

Was FIRESTARTER von gewöhnlicher Schadsoftware unterscheidet, ist seine außergewöhnliche Widerstandsfähigkeit. Die Malware wurde so programmiert, dass sie gängige Beendigungssignale des Betriebssystems erkennt. Versucht ein Administrator, den bösartigen Prozess manuell zu stoppen, startet sich dieser automatisch neu. Noch schwerwiegender ist die Tatsache, dass die Backdoor Software-Updates und reguläre Neustarts überlebt. Dies liegt an einer Manipulation der sogenannten CSP_MOUNT_LIST, einer Konfigurationsdatei, die festlegt, welche Programme beim Boot-Vorgang geladen werden. Die Malware installiert einen Hook in der XML-Handler-Tabelle der C++-Standardbibliothek und leitet legitime Anfragen auf eigenen Shellcode um.

Der Angriffsweg und die Rolle von ArcaneDoor

Die Entdeckung von FIRESTARTER steht im Zusammenhang mit Aktivitäten einer Hackergruppe, die von Sicherheitsforschern unter der Bezeichnung UAT-4356 oder ArcaneDoor geführt wird. Diese Gruppe nutzt gezielt zwei Sicherheitslücken aus dem Jahr 2025: CVE-2025-20333 (fehlende Autorisierung) und CVE-2025-20362 (ein klassischer Pufferüberlauf). Die CISA stellte fest, dass die Angreifer diese Lücken bereits im September 2025 ausnutzten, um FIRESTARTER zu installieren.

Ein forensischer Bericht dokumentiert den Fall einer US-Bundesbehörde, bei der die Angreifer zunächst das Implantat LINE VIPER einsetzten, um VPN-Authentifizierungsrichtlinien zu umgehen. Erst danach wurde FIRESTARTER als persistente Basis installiert. Das heimtückische Element: Wer seine Geräte erst nach der Infektion gepatcht hat, ist zwar vor neuen Exploits geschützt, doch die bereits vorhandene FIRESTARTER-Instanz bleibt aktiv. Die Hacker konnten so im März 2026 problemlos wieder in das System eindringen, ohne die ursprünglichen Schwachstellen erneut ausnutzen zu müssen.

Warum ein Software-Neustart nicht ausreicht

Die Persistenzmechanismen von FIRESTARTER sind so tief in der Speicherverwaltung verankert, dass ein Neustart über die Weboberfläche oder die Kommandozeile keine Wirkung zeigt. Die Malware lagert ihren Code beim Herunterfahren kurzzeitig in unauffällige Log-Dateien wie svc_samcore.log aus und installiert sich beim Hochfahren sofort wieder.

Um die Systeme zuverlässig zu bereinigen, schreiben die Behörden zwingend einen sogenannten Hard Power Cycle vor. Das bedeutet, dass das Gerät physisch von allen Stromquellen getrennt werden muss, einschließlich eventuell vorhandener redundanter Netzteile. Erst wenn die Kondensatoren entladen sind und der Chip für mindestens eine Minute vollständig ohne Energie war, wird der flüchtige Speicher gelöscht, in dem sich die Hooks der Malware befinden. Ein einfacher Kaltstart über einen Schalter reicht oft nicht aus, wenn das Netzteil weiterhin Strom liefert.

Deutschland im Visier der Cyberspionage

Auch wenn die Berichte primär aus dem angloamerikanischen Raum stammen, ist die Bedrohungslage für Deutschland identisch. Cisco-Firewalls bilden das Rückgrat zahlreicher deutscher Behörden, Krankenhäuser und Industriebetriebe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet die Lage genau, da die betroffenen Geräte kritische Schnittstellen im Internet darstellen.

Ein unbemerkter Zugriff über eine Backdoor wie FIRESTARTER ermöglicht es Spionen, den gesamten verschlüsselten Datenverkehr eines VPNs mitzulesen, Administrator-Zertifikate zu stehlen und sich lateral im Netzwerk zu bewegen. In einer Zeit, in der Industrie-Spionage und staatliche Sabotage-Drohungen zunehmen, stellt eine solche Lücke in der Perimetersicherheit ein nationales Sicherheitsrisiko dar.

Empfehlungen für Administratoren

Administratoren sollten die Warnungen von CISA und NCSC als dringenden Handlungsaufruf verstehen. Neben dem physischen Strom-Reset werden folgende Maßnahmen empfohlen:

1. Analyse von Core Dumps: Vor einer Bereinigung sollten Core Dumps der betroffenen Geräte erstellt werden. Diese können wertvolle forensische Beweise liefern. Die CISA bietet hierfür spezielle Analyse-Plattformen an.
2. Einsatz von YARA-Regeln: Es existieren spezifische YARA-Regeln, um Spuren von FIRESTARTER auf Disk-Images oder in Speicherabzügen zu identifizieren.
3. Überwachung der Log-Dateien: Verdächtige Einträge oder ungewöhnliche Telemetriedaten beim Ausführen von Befehlen wie show checkheaps können erste Hinweise auf eine Kompromittierung geben.
4. Passwort-Rotation: Da davon auszugehen ist, dass FIRESTARTER bereits Zugangsdaten exfiltriert hat, müssen nach der Bereinigung sämtliche Passwörter für privilegierte Konten und Dienstkonten gewechselt werden.
5. TACACS+ Absicherung: Die Geräteverwaltung sollte über TACACS+ mittels TLS 1.3 verschlüsselt werden, um das Abfangen von Passwörtern im internen Netzwerk zu erschweren.