Hackers verstopten backdoor in Cisco-firewalls die updates overleeft

Nieuwe backdoor overleeft zelfs na patches

Een door staten gesteunde hackergroep heeft een aangepaste backdoor geïnstalleerd op Cisco-netwerkbeveiligingsapparaten, die zelfs firmware-updates en standaard herstarts overleeft. Dit blijkt uit een gezamenlijke waarschuwing van Amerikaanse en Britse cyberbeveiligingsautoriteiten, die donderdag een gedetailleerd rapport publiceerden over de malware, codenaam Firestarter.

Cisco’s threat intelligence-afdeling, Talos, koppelt de malware aan een hackergroep die zij volgt onder de naam UAT-4356. Deze groep staat ook achter de spionagecampagne ArcaneDoor uit 2024, gericht op het compromitteren van netwerkperimeterapparaten.

Ontdekking bij Amerikaanse overheidsinstantie

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ontdekte de backdoor op een Cisco Firepower-apparaat van een federale civiele overheidsinstantie. De ontdekking volgde op verdachte netwerkverbindingen die werden opgemerkt tijdens continue monitoring. Als reactie hierop vaardigde CISA donderdag een nooddirectief uit, waarin alle federale civiele instanties worden verplicht om hun Cisco-firewalls te auditen en geheugendumps voor analyse in te dienen.

Hoe de backdoor blijft bestaan na patches

Het grootste risico van deze malware is dat deze blijft bestaan op gecompromitteerde apparaten, zelfs nadat beheerders de beveiligingspatches van Cisco hebben toegepast. Deze patches, uitgebracht in september 2025, moesten twee kwetsbaarheden dichten:

• CVE-2025-20333: Een fout in de VPN-webservercomponent die remote code execution mogelijk maakt.
• CVE-2025-20362: Een ongeautoriseerde toegangskwetsbaarheid.

Volgens CISA kunnen apparaten die voor het toepassen van de patches al waren geïnfecteerd, nog steeds de backdoor bevatten. Firestarter zorgt voor persistentie door de Cisco Service Platform mount list te manipuleren, een configuratiebestand dat bepaalt welke programma’s worden uitgevoerd tijdens het opstarten van het apparaat.

Wanneer het apparaat een herstart of afsluitcommando ontvangt, kopieert de malware zichzelf naar een secundaire locatie en past de mount list aan om zichzelf na de herstart opnieuw te activeren. Een standaard softwareherstart verwijdert de malware niet. Alleen een hard herstart – door het apparaat fysiek los te koppelen van de stroomvoorziening – is voldoende om de persistentiemechanismen uit het geheugen te verwijderen.

Malware injecteert schadelijke code in kernnetwerksoftware

Vervolgens injecteert de malware malicieuze shellcode in LINA, de kernnetwerk- en firewallsoftware van Cisco’s Adaptive Security Appliance en Firepower Threat Defense. Eenmaal geïnstalleerd, onderschept de malware specifieke netwerkverzoeken die normaal worden gebruikt voor VPN-authenticatie.

Wanneer een verzoek binnenkomt met een verborgen triggersequentie, voert de malware code uit die door de aanvallers wordt geleverd. Hierdoor krijgen hackers een backdoor tot het apparaat, waardoor ze volledige controle kunnen verkrijgen.

Technische overeenkomsten met eerdere malware

Cisco Talos constateert dat Firestarter aanzienlijke technische overeenkomsten vertoont met een eerder gedocumenteerde malware genaamd RayInitiator. Dit suggereert dat beide tools een gemeenschappelijke oorsprong of ontwikkelingsgeschiedenis hebben binnen de toolkit van UAT-4356.

In het incident dat CISA analyseerde, installeerden de aanvallers eerst een andere malware, Line Viper, om toegang te krijgen tot apparaatconfiguraties, inloggegevens en encryptiesleutels. Daarna volgde de installatie van Firestarter, nog voordat de patches van september 2025 op deze apparaten waren toegepast. Toen de instantie de systemen patchte, bleef Firestarter aanwezig en gebruikten de aanvallers de backdoor om opnieuw toegang te verkrijgen.

Wat organisaties nu moeten doen

CISA en Cisco adviseren organisaties om onmiddellijk actie te ondernemen:

• Alle Cisco-firewalls en netwerkbeveiligingsapparaten controleren op tekenen van compromittering.
• Een hard herstart uitvoeren op verdachte apparaten om de backdoor te verwijderen.
• De meest recente beveiligingsupdates van Cisco installeren, indien nog niet gebeurd.
• Netwerkverkeer monitoren op ongebruikelijke activiteit, met name rond VPN-verzoeken.
• Indien nodig, professionele hulp inschakelen voor forensisch onderzoek.

Deze waarschuwing benadrukt opnieuw het belang van proactieve beveiligingsmaatregelen en continue monitoring, vooral bij kritieke infrastructuursystemen.