Cisco ASA Firewall Zero-Day Exploits Deploy RayInitiator e LINE VIPER Malware

26 de setembro de 2025 - O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) revelou que agentes de ameaças exploraram falhas de segurança recentes em firewalls Cisco em ataques zero-day para implantar novas famílias de malware: RayInitiator e LINE VIPER.

Detalhes do Ataque

• Vulnerabilidades exploradas: CVE-2025-20362 (CVSS 6.5) e CVE-2025-20333 (CVSS 9.9)
• Campanha atribuída: ArcaneDoor, associada ao grupo UAT4356 (suspeito de ligação com a China)
• Dispositivos afetados: Cisco ASA 5500-X Series com serviços VPN web ativados

Malwares Identificados

RayInitiator

• Bootkit persistente baseado em GRUB
• Sobrevive a reinicializações e atualizações de firmware
• Instala um handler no binário legítimo "lina" do ASA

LINE VIPER

• Loader de shellcode em modo de usuário
• Mais sofisticado que o Line Dancer (campanha anterior)
• Executa comandos CLI, captura pacotes e evita detecção
• Duas formas de comunicação C2: WebVPN via HTTPS ou ICMP/TCP

Técnicas de Evasão

Os atacantes utilizaram técnicas avançadas incluindo:

• Desativação de logs
• Interceptação de comandos CLI
• Crash intencional de dispositivos para evitar análise
• Modificação do ROMMON para persistência

Recomendações de Segurança

A Cisco e agências governamentais recomendam:

• Atualização imediata para versões corrigidas dos produtos ASA e FTD
• Verificação de dispositivos que atingiram end-of-support (EoS)
• Implementação de Secure Boot e Trust Anchor technologies

A campanha representa uma evolução significativa na sofisticação e capacidade de evasão de detecção em comparação com ataques anteriores.