Hacker nutzen n-Day-Schwachstellen in Cisco Firepower-Geräten, um unbefugten Zugriff zu erlangen

Staatlich geförderte Bedrohungsakteure zielen aktiv auf Cisco Firepower-Geräte ab, indem sie bekannte Schwachstellen miteinander verknüpfen, um eine hochgradig angepasste Hintertür zu installieren.

Cisco Talos entdeckte Staatlich geförderte Bedrohungsakteure zielen aktiv auf Cisco Firepower-Geräte ab, indem sie bekannte Schwachstellen miteinander verknüpfen, um eine hochgradig angepasste Hintertür zu installieren.

Cisco Talos entdeckte kürzlich, dass die auf Spionage ausgerichtete Bedrohungsgruppe UAT-4356 zwei N-Day-Schwachstellen ausnutzt, die als CVE-2025-20333 und CVE-2025-20362 verfolgt werden, um Firepower Extensible Operating System (FXOS)-Umgebungen zu infiltrieren.

Moegliche Anwendungen

UAT-4356 orchestrierte zuvor die Kampagne ArcaneDoor, die erfolgreich Netzwerk-Peripheriegeräte ins Visier nahm, um weit verbreitete Spionage durchzuführen.

Bei dieser neuesten Kampagne nutzen die Angreifer ihren anfänglichen Zugang, um „FIRESTARTER“ zu installieren, einen hochentwickelten Implantat, das unbefugte Fernsteuerung über kompromittierte Netzwerke gewährt. Die FIRESTARTER-Hintertürbettet sich tief in die Kernkomponenten der Cisco ASA- und FTD-Geräte ein.

Die Malware zielt spezifisch auf den LINA-Prozess ab und ermöglicht es den Angreifern, beliebigen Shellcode direkt im Speicher des Geräts auszuführen. Ausführung einer bösartigen Nutzlast Um einen Fuß in die Tür zu bekommen, manipuliert UAT-4356 die Boot-Sequenz des Geräts, indem es die Cisco Service Platform Mount-Liste verändert.

Interessanterweise bleibt dieser Persistenzmechanismus vollständig transient und wird nur während eines sanften Neustarts ausgelöst.