El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha revelado que los actores de amenaza han explotado el fallas de seguridad recientemente reveladas Impactar los firewalls de Cisco como parte de los ataques de día cero para entregar familias de malware previamente indocumentadas como Rayiniciador y Víbora.
«El malware de Rayinitor y Line Viper representan una evolución significativa sobre la utilizada en la campaña anterior, tanto en sofisticación como en su capacidad para evadir la detección», la agencia dicho.
Cisco reveló el jueves que comenzó a investigar los ataques a múltiples agencias gubernamentales vinculadas a la campaña patrocinada por el estado en mayo de 2025 que se dirigió a los dispositivos de la serie de seguridad adaptativa (ASA) 5500-X para implantar malware, ejecutar comandos y exfiltrar datos de los dispositivos comprometidos.
Un análisis en profundidad del firmware extraído de los dispositivos infectados que ejecutan el software Cisco Secure Firewall ASA con servicios web VPN habilitados finalmente condujo al descubrimiento de un error de corrupción de memoria en el software del producto, agregó.
«Se observó que los atacantes habían explotado múltiples vulnerabilidades de día cero y emplearon técnicas de evasión avanzada, como deshabilitar el registro, interceptar comandos de CLI y bloquear intencionalmente dispositivos para evitar el análisis de diagnóstico», la compañía «, la compañía dicho.
La actividad involucra el explotación de CVE-2025-20362 (puntaje CVSS: 6.5) y CVE-2025-20333 (puntaje CVSS: 9.9) para evitar la autenticación y ejecutar código malicioso en aparatos susceptibles. Se evalúa que la campaña está vinculada a un clúster de amenazas denominado Arcanedoorque se atribuyó a un presunto grupo de piratería vinculado a China conocido como UAT4356 (también conocido como Storm-1849).
Además, en algunos casos, se dice que el actor de amenaza tiene modificado Rommon (abreviatura de Monitor de memoria de solo lectura), Que es responsable de administrar el proceso de arranque y realizar pruebas de diagnóstico en dispositivos ASA, para facilitar la persistencia entre reinicios y actualizaciones de software. Dicho esto, estas modificaciones se han detectado solo en las plataformas de la serie Cisco ASA 5500-X que carecen de tecnologías seguras de botas y fideicomisos.
Cisco también dijo que la campaña ha comprometido con éxito los modelos de la serie ASA 5500-X que ejecutan el software Cisco ASA lanza 9.12 o 9.14 con servicios web VPN habilitados, y que no admiten tecnologías seguras de anclaje de botas y confianza. Todos los dispositivos afectados han alcanzado el fin de apoyo (EOS) o están a punto de alcanzar el estado de EOS para la próxima semana-
- 5512-x y 5515-x-Última fecha de apoyo: 31 de agosto de 2022
- 5585-X-Última fecha de apoyo: 31 de mayo de 2023
- 5525-x, 5545-x y 5555-x-Última fecha de apoyo: 30 de septiembre de 2025
Además, la compañía señaló que ha abordado un tercer defecto crítico (CVE-2025-20363, puntaje CVSS: 8.5/9.0) en los servicios web del software Adaptive Security Appliance (ASA), el software Secure Firewall Defense (FTD), el software de iOS, el software iOS XE y el software iOS XR que podría permitir a un atacante remoto a un atacante ejecutivo de un atacante de Arbitrar, un dispositivo ARBITRARIO ARBITRARIO.
«Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP elaboradas a un servicio web dirigido en un dispositivo afectado después de obtener información adicional sobre el sistema, superando las mitigaciones de explotación o ambos,» es «. dicho. «Una exploit exitosa podría permitir al atacante ejecutar el código arbitrario como raíz, lo que puede conducir al compromiso completo del dispositivo afectado».
A diferencia de CVE-2025-20362 y CVE-2025-20333, no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza en un contexto malicioso. Cisco dijo que la deficiencia fue descubierta por el Cisco Advanced Security Initiatives Group (ASIG) durante la resolución de un caso de soporte de Cisco TAC.
El Centro Canadiense de Seguridad Cibernética tiene impuesto Las organizaciones en el país tomarán medidas lo antes posible para contrarrestar la amenaza actualizando una versión fija de los productos Cisco ASA y FTD.
El NCSC del Reino Unido, en un aviso publicado el 25 de septiembre, reveló que los ataques han aprovechado un botín de varias etapas llamado Rayinitiator para implementar un cargador de shellcode en modo de usuario conocido como Viper de línea al dispositivo ASA.
Rayinitiator es un gran botín persistente de Bootloader (GRUB) que se interpone a los dispositivos de víctimas, mientras que es capaz de sobrevivir reinicios y actualizaciones de firmware. Es responsable de cargar en Memory Line Viper, que puede ejecutar comandos CLI, realizar capturas de paquetes, omitir la autenticación de VPN, la autorización y la contabilidad (AAA) para los dispositivos de actores, suprimir los mensajes de Syslog, cosechar comandos CLI de usuario y forzar un reinicio retrasado.
El Bootkit logra esto instalando un controlador dentro de un Binario ASA legítimo llamado «Lina» para ejecutar Viper de línea. Lina, abreviatura de la arquitectura de red integrada basada en Linux, es el software del sistema operativo que integra las funcionalidades de firewall de la ASA.
Descrito como «más completo» que BailarínLine Viper utiliza dos métodos para la comunicación con el servidor de comando y control (C2): sesiones de autenticación del cliente WebVPN a través de HTTPS, o a través de ICMP con respuestas a través de TCP sin procesar. También está diseñado para hacer una serie de modificaciones a «Lina» para evitar dejar un sendero forense y evitar la detección de modificaciones a comandos CLI como copiar y verificar.
«El despliegue de Viper de línea a través de un botín persistente, combinado con un mayor énfasis en las técnicas de evasión de defensa, demuestra un aumento en la sofisticación de los actores y la mejora en la seguridad operativa en comparación con la campaña de Arcanedoor documentada públicamente en 2024», dijo el NCSC.
Fuente