Die US-amerikanische Behörde für Infrastruktursicherheit und Cybersicherheit (CISA) meldete, dass ein Cisco Firepower-Gerät einer zivilen Bundesbehörde im September 2025 kompromittiert wurde. Der Angriff nutzte eine neue Schadsoftware namens FIRESTARTER, die als Hintertür für dauerhaften Fernzugriff konzipiert ist. Die Entdeckung wurde gemeinsam mit dem britischen National Cyber Security Centre (NCSC) bekannt gegeben.
FIRESTARTER: Eine Hintertür, die Sicherheitsupdates ignoriert 🔥
Die Schadsoftware FIRESTARTER fungiert als Hintertür, die es Angreifern ermöglicht, die Fernkontrolle über das kompromittierte Gerät zu behalten. Besonders besorgniserregend ist, dass es den auf dem Cisco Firepower-Gerät mit der Software Adaptive Security Appliance (ASA) angewendeten Sicherheitspatches standhielt. Dies deutet darauf hin, dass die Malware fortschrittliche Persistenztechniken einsetzt, sich möglicherweise im Speicher verbirgt oder undokumentierte Firmware-Fehler ausnutzt, was ihre Erkennung und Beseitigung durch herkömmliche Patch-Methoden erschwert.
Der Patch, der nichts patchte, aber trotzdem kassierte 💀
Netzwerkadministratoren wandten Patches in der Hoffnung an, ruhig schlafen zu können, aber FIRESTARTER beschloss, im Router zu bleiben wie ein Mieter, der keine Miete zahlt. CISA und das NCSC empfehlen nun, Logs zu überprüfen, aber sicherlich hat der Angreifer seine Spuren bereits verwischt, während er einen virtuellen Kaffee genoss. Das Einzige, was beständiger ist als diese Malware, ist die Bürokratie für die Genehmigung einer Passwortänderung.