Cybersicherheitsbehörden in den USA und Großbritannien warnen vor einer benutzerdefinierten Malware namens Firestarter, die auf Cisco Firepower und Secure Firewall-Geräten mit Adaptive Security Appliance (ASA) oder Firepower Threat Defense (FTD) Software persistiert. ### Verbindung zu ArcaneDoor Die Backdoor wurde einem Bedrohungsakteur zugeschrieben, den Cisco Talos intern als UAT-4356 verfolgt und der für Cyber-Spionagekampagnen bekannt ist, einschließlich ArcaneDoor. ### Ausnutzung von Schwachstellen für den initialen Zugriff Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) und das U.K. National Cyber Security Centre (NCSC) gehen davon aus, dass der Angreifer den initialen Zugriff durch Ausnutzung eines fehlenden Autorisierungsproblems (CVE-2025-20333) und/oder eines Pufferüberlauf-Fehlers (CVE-2025-20362) erlangt hat. ### Line Viper und Firestarter-Bereitstellung In einem Vorfall bei einer zivilen Bundesbehörde beobachtete CISA, wie der Bedrohungsakteur zuerst die Line Viper-Malware, einen User-Mode-Shellcode-Loader, einsetzte und dann Firestarter verwendete, was den fortgesetzten Zugriff auch nach dem Patchen ermöglicht. „CISA hat das genaue Datum der initialen Ausnutzung nicht bestätigt, geht aber davon aus, dass der Kompromittierung Anfang September 2025 erfolgte und bevor die Behörde Patches gemäß ED 25-03 implementierte“, heißt es in einer Warnung der Behörde. Line Viper wird verwendet, um VPN-Sitzungen einzurichten und auf alle Konfigurationsdetails zuzugreifen, einschließlich administrativer Anmeldeinformationen, Zertifikaten und privaten Schlüsseln auf kompromittierten Firepower-Geräten. Anschließend wird die ELF-Binärdatei für die Firestarter-Backdoor zur Persistenz bereitgestellt, was dem Bedrohungsakteur den erneuten Zugriff ermöglicht, wenn er benötigt wird. ### Persistenzmechanismen Sobald Firestarter sich auf den Geräten eingenistet hat, behält es die Persistenz über Neustarts, Firmware-Updates und Sicherheitspatches hinweg bei. Darüber hinaus startet die Backdoor automatisch neu, wenn sie beendet wird. Die Persistenz wird durch Hooking in LINA, den Kernprozess von Cisco ASA, und die Verwendung von Signalhandlern, die Neuinstallationsroutinen auslösen, erreicht. Ein gemeinsamer Malware-Analysebericht der beiden Cybersicherheitsbehörden erklärt, dass Firestarter die Datei CSP_MOUNT_LIST (Boot/Mount) modifiziert, um die Ausführung beim Start sicherzustellen, eine Kopie von sich selbst in /opt/cisco/platform/logs/var/log/svc_samcore.log speichert und sie nach /usr/bin/lina_cs wiederherstellt, wo sie im Hintergrund läuft. Cisco Talos veröffentlichte ebenfalls seine Analyse der Malware und erklärte, dass der Persistenzmechanismus ausgelöst wird, wenn ein Prozessbeendigungssignal empfangen wird, auch bekannt als ordnungsgemäßer Neustart. Die Forscher stellten im Firestarter-Bericht fest, dass die Backdoor die unten stehenden Befehle verwendete, um die Persistenz für sich selbst einzurichten:  ### Backdoor-Funktionalität Die Kernfunktion des Implantats besteht darin, als Backdoor für den Fernzugriff zu fungieren, während es auch vom Angreifer bereitgestellten Shellcode ausführen kann. Dies geschieht über einen Mechanismus, bei dem Firestarter LINA durch Modifikation eines XML-Handlers hookt und Shellcode in den Speicher injiziert, wodurch ein kontrollierter Ausführungspfad geschaffen wird. Dieser Shellcode wird durch eine speziell gestaltete WebVPN-Anfrage ausgelöst, die nach der Validierung einer hartcodierten Kennung Angreifer-bereitgestellte Payloads direkt im Speicher lädt und ausführt. CISA lieferte jedoch keine Details zu den spezifischen Payloads, die bei den Angriffen beobachtet wurden. ### Ciscos Empfehlungen Cisco veröffentlichte eine Sicherheitsberatung zu Firestarter, die Abhilfemaßnahmen und Workarounds zur Entfernung des Persistenzmechanismus sowie Indikatoren für Kompromittierung zur Entdeckung des Firestarter-Implantats enthält. Der Hersteller „empfiehlt dringend, das Gerät mit den behobenen Versionen neu zu imagieren und zu aktualisieren“, was sowohl kompromittierte als auch nicht kompromittierte Fälle abdeckt. Um eine Kompromittierung festzustellen, sollten Administratoren den Befehl 'show kernel process | include lina_cs' ausführen. Bei jeder Ausgabe sollte das Gerät als kompromittiert betrachtet werden. Wenn ein Neu-Imaging des Geräts derzeit nicht möglich ist, gibt Cisco an, dass ein Kaltstart (Trennung der Stromversorgung des Geräts) die Malware entfernt. Diese Alternative wird jedoch nicht empfohlen, da sie das Risiko einer Datenbank- oder Festplattenbeschädigung birgt, was zu Boot-Problemen führt. CISA hat außerdem zwei YARA-Regeln geteilt, die die Firestarter-Backdoor erkennen können, wenn sie auf ein Disk-Image oder einen Core-Dump eines Geräts angewendet werden.