VS en VK waarschuwen voor "FIRESTARTER" backdoor in Cisco ASA-firewalls

In dit artikel:

De Amerikaanse en Britse autoriteiten waarschuwen dat een advanced persistent threat (APT) een backdoor met de naam FIRESTARTER heeft geïnstalleerd in Cisco ASA-firewalls. Aanvallers zouden misbruik hebben gemaakt van twee recent toegewezen kwetsbaarheden, CVE-2025-20333 (buffer overflow) en CVE-2025-20362 (missing authorization), waarmee ze ongeautoriseerde toegang tot routers konden krijgen.

Volgens de waarschuwing kan FIRESTARTER op de firewall actief blijven nadat de oorspronkelijke lekken zijn dichtgemaakt, waardoor eenvoudige patching mogelijk onvoldoende is om volledige verwijdering te garanderen. Om detectie te vergemakkelijken publiceerden de autoriteiten YARA-rules die organisaties kunnen gebruiken om de backdoor op te sporen. De VS brachten bovendien een bijgewerkte Emergency Directive uit waarin federale instanties worden opgedragen hun Cisco ASA-apparatuur te controleren op aanwezigheid van de malware.

Aanbevolen vervolgstappen zijn het direct toepassen van beschikbare vendorpatches, scannen met de door de autoriteiten gepubliceerde regels en bij vermoeden van compromittering overwegen om apparaten volledig te herstellen of te vervangen. Voor organisaties met Cisco ASA-infrastructuur is snel actie nemen en log- en netwerkforensisch onderzoek essentieel om persistente toegang te elimineren en vervolgincidenten te voorkomen.