SecBoard
Zurück zur Übersicht
Manager

FIRESTARTER Backdoor Hit Federal Cisco Firepower Device, Survives Security Patches

The Hacker News·
Originalartikel lesen bei The Hacker News

Ein unbekanntes US-Bundesbehörden-Gerät von Cisco Firepower, das ASA-Software nutzt, wurde im September 2025 mit dem neuen Malware-FIRESTARTER kompromittiert. FIRESTARTER wird als Remote-Zugriff-Hinterthür eingeschätzt. Die Sicherheitslücke überlebte mehrere Patches. Benutzer sollten dringend ihre Systeme auf Updates prüfen und mögliche Angriffe durch eine verstärkte Überwachung entdecken.

Kurzfassung

Ein unbekanntes US-Bundesbehörden-Gerät von Cisco Firepower mit ASA-Software wurde im September 2025 mit der Malware FIRESTARTER kompromittiert. FIRESTARTER wird als Remote-Zugriff-Hintertür eingeschätzt und überlebte mehrere Patches. Nutzer sollen Updates prüfen und durch verstärkte Überwachung mögliche Angriffe erkennen.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Ein unbekanntes US-Bundesbehörden-Gerät von Cisco Firepower mit ASA-Software; weitere betroffene Nutzer werden nicht angegeben.

Warum relevant

Eine Backdoor auf einem Perimetergerät kann dauerhaften Remote-Zugriff trotz Patches ermöglichen.

Realistisches Worst Case

Ein kompromittiertes Netzwerk-Perimetergerät ermöglicht anhaltenden unautorisierten Zugriff in eine Regierungsumgebung.

Handlungsempfehlung

Cisco-Firepower- und ASA-Geräte auf aktuelle Updates, unerwartete Persistenz und verdächtige Remote-Zugriffe prüfen.

Defensive Validierung / Purple-Team Checks
  • Defensiver Check 1: Inventarisieren, ob Cisco Firepower mit ASA-Software eingesetzt wird und ob alle Updates installiert sind.
  • Defensiver Check 2: Logs und Konfigurationen auf unerwartete Remote-Zugriffe, neue Benutzer oder Persistenzartefakte prüfen.
  • Defensiver Check 3: Nach Patchzyklen gezielt kontrollieren, ob zuvor beobachtete verdächtige Artefakte bestehen bleiben.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
PersistenceT1505 Server Software ComponentLowFIRESTARTER wird als Backdoor beschrieben, die mehrere Patches überlebte; der konkrete Persistenzmechanismus wird nicht angegeben.
Command and ControlT1219 Remote Access SoftwareLowFIRESTARTER wird als Remote-Zugriff-Hintertür eingeschätzt.
Offene Punkte
  • Konkrete CVEs werden nicht im Artikel angegeben.
  • IOCs und technische Persistenzmechanismen werden nicht im Artikel angegeben.
  • Ob weitere Behörden oder private Organisationen betroffen sind, wird nicht im Artikel angegeben.

MITRE ATT&CK Kill Chain (3 Techniken)

Reconnaissance
T1592.002

Software

Resource Development
T1587.001

Malware

T1588.001

Malware

Vollständigen Artikel lesen bei The Hacker News

Verwandte Artikel

Webinar: Fixing the gaps in network incident response

BleepingComputer·vor etwa 1 Stunde

Microsoft Patches 137 Vulnerabilities

SecurityWeek·vor etwa 3 Stunden

Exaforce Raises $125 Million for Agentic SOC Platform

SecurityWeek·vor etwa 4 Stunden

Škoda warns of customer data breach after online shop hack

BleepingComputer·vor etwa 4 Stunden

Adobe Patches 52 Vulnerabilities in 10 Products

SecurityWeek·vor etwa 4 Stunden