## US-Behörde durch Cisco-Firewall-Schwachstellen kompromittiert: 'FIRESTARTER'-Malware ermöglicht persistenten Zugriff Eine US-Bundesbehörde wurde im September von hochentwickelten Hackern kompromittiert, die Schwachstellen in **Cisco**-Firewalls ausnutzten. Die Angreifer setzten eine Malware namens 'FIRESTARTER' ein, um persistenten Zugriff zu gewährleisten, selbst nachdem die ursprünglichen Schwachstellen behoben waren. Die **Cybersecurity and Infrastructure Security Agency (CISA)** gab bekannt, dass die nicht genannte Abteilung mit der „FIRESTARTER“-Malware infiziert war, was den Angreifern ermöglichte, im März wieder Zugriff auf das **Cisco**-Gerät zu erlangen, ohne die ursprünglichen Fehler erneut auszunutzen. ### CISA's Reaktion **CISA** hat eine Warnung bezüglich der FIRESTARTER-Malware und eine aktualisierte Anweisung herausgegeben, die spezifische Maßnahmen für zivile Bundesbehörden zur Erkennung und Eindämmung potenzieller Infektionen vorschreibt. Dies folgt auf eine erste Warnung im September bezüglich **CVE-2025-20333** und **CVE-2025-20362**, zwei Schwachstellen, die **Cisco Adaptive Security Appliances (ASA)** betreffen. **CISA** erklärte, dass die Überarbeitungen der Warnung durch aktualisierte Cyber-Bedrohungsdaten ausgelöst wurden, die darauf hindeuten, dass Bedrohungsakteure Persistenz und unbefugten Zugriff auf **Cisco Firepower** und **Secure Firewall**-Produkte aufrechterhalten, auf denen **ASA** oder **Firepower Threat Defense (FTD)**-Software läuft. ### ASA: Ein Hauptziel **ASA** wird von Regierungen und großen Unternehmen weit verbreitet eingesetzt, da es mehrere Sicherheitsfunktionen in einem einzigen Gerät konsolidiert, darunter Firewall, Intrusion Prevention, Spam-Filterung und Antivirenprüfungen. **CISA** hat im Rahmen seines kontinuierlichen Überwachungsprogramms verdächtige Verbindungen auf einem **Cisco Firepower**-Gerät einer US-FCEB-Behörde mit **ASA**-Software erkannt. Eine forensische Untersuchung führte zur Entdeckung der FIRESTARTER-Malware. ### FIRESTARTER und Line Viper Malware Zusätzlich zu FIRESTARTER setzten die Angreifer eine weitere Malware namens Line Viper ein, die illegitime virtuelle private Netzwerk (VPN)-Sitzungen einrichtete und VPN-Authentifizierungsrichtlinien umging. FIRESTARTER diente als Mittel zur Aufrechterhaltung des Zugriffs auf das kompromittierte Gerät und ermöglichte es den Hackern, im März 2026 „Zugriff ohne erneute Ausnutzung der ursprünglichen Schwachstellen“ zu erlangen. Geräte, die vor der Anwendung der Patches für CVE-2025-20333 und CVE-2025-20362 kompromittiert wurden, bleiben aufgrund von FIRESTARTER anfällig. Die Bereitstellung von FIRESTARTER erfolgte vor dem 25. September 2025, das genaue Datum ist jedoch unbekannt. Die Angreifer nutzten auch Bundeskonten aus, die innerhalb der Behörde nicht mehr aktiv waren. Line Viper gewährte den Bedrohungsakteuren Zugriff auf alles auf dem Firepower-Gerät des Opfers, einschließlich administrativer Anmeldeinformationen, Zertifikaten und privaten Schlüsseln. ### Attribution und Zusammenarbeit Obwohl **CISA** die Angriffe nicht öffentlich einem bestimmten Land zuordnete, deuten Berichte auf eine mögliche Verbindung zu chinesischen Staatsinteressen hin. **CISA** arbeitete mit dem **United Kingdom National Cyber Security Centre (NCSC)** an diesen Warnungen. Sie gaben auch gemeinsam eine weitere Mitteilung über chinesische staatlich verbundene Bedrohungsakteure heraus, die verdeckte Netzwerke kompromittierter Geräte nutzten, und erwähnten insbesondere Taktiken, die von Volt Typhoon und Flax Typhoon angewendet wurden, zwei Gruppen, die zuvor für die Zielsetzung der US-Regierung und kritischer Infrastrukturen identifiziert wurden. ### Ciscos Einschätzung Im September veröffentlichte **Cisco** eine detaillierte Analyse von CVE-2025-20333 und CVE-2025-20362 und verband die Kampagne mit den gleichen Akteuren, die hinter der 2024 entdeckten ArcaneDoor-Kampagne steckten, die **Cisco** staatlich geförderten Bedrohungsakteuren zuordnete. ### Erforderliche Maßnahmen für Bundesbehörden Die Warnungen von **CISA** umreißen mehrere zwingende Maßnahmen für alle zivilen Bundesbehörden als Reaktion auf die laufende Kampagne gegen **Cisco**-Firewall-Geräte. Dazu gehört die Einreichung detaillierter Informationen über ihre Systeme. Bestätigte Kompromittierungen führen zu weiteren Anweisungen von **CISA**, die möglicherweise die physische Trennung von Geräten zur Entfernung der Persistenz von FIRESTARTER umfassen. Bundesbehörden müssen die Durchführung von Malware-Scans bis zu einer bestimmten Frist bestätigen und bis zum 1. Mai eine Bestandsaufnahme der **Cisco Firepower**-Geräte vorlegen. **CISA** wird bis zum 1. August einen Bericht über die Kampagne an den National Cyber Director und andere führende Persönlichkeiten des Weißen Hauses vorlegen. **CISA** betont, dass die in der September-Warnung dargelegten anfänglichen Maßnahmen nicht ausreichen, um die Malware oder die Angreifer vollständig von kompromittierten Systemen zu entfernen. Behörden, die bereits Sicherheitsupdates angewendet haben, müssen dennoch die aktualisierten erforderlichen Maßnahmen abschließen. Organisationen wird geraten, Geräte nicht vom Netz zu nehmen, es sei denn, sie werden ausdrücklich von **CISA** dazu aufgefordert. **CISA** hat auch Anleitungen bereitgestellt, wie jede Organisation auf FIRESTARTER-Infektionen überprüfen kann. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"> </figure></a>