O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) revelou que atores maliciosos estão explorando vulnerabilidades recentemente divulgadas em firewalls Cisco para realizar ataques zero-day, utilizando novas famílias de malware até então desconhecidas, como RayInitiator e LINE VIPER.
Segundo a agência, “os malwares RayInitiator e LINE VIPER representam uma evolução significativa em relação aos usados em campanhas anteriores, tanto em sofisticação quanto na capacidade de evitar a detecção”.
Em maio de 2025, a Cisco iniciou uma investigação sobre ataques direcionados a múltiplas agências governamentais relacionados a uma campanha patrocinada por estado.
Os ataques focaram em dispositivos da série Adaptive Security Appliance (ASA) 5500-X, com o objetivo de implantar malware, executar comandos remotos e, possivelmente, exfiltrar dados das máquinas comprometidas.
Uma análise detalhada do firmware extraído dos dispositivos infectados, que rodavam o Cisco Secure Firewall ASA Software com serviços VPN ativados, levou à descoberta de uma falha de corrupção de memória no software do produto.
"A análise mostrou que os invasores exploraram múltiplas vulnerabilidades zero-day e empregaram técnicas avançadas de evasão, como desativar logs, interceptar comandos via CLI e provocar quedas intencionais nos dispositivos para impedir análises forenses", afirmou a Cisco.
As vulnerabilidades exploradas nas campanhas são identificadas como
CVE-2025-20362
(pontuação CVSS 6.5) e
CVE-2025-20333
(CVSS 9.9).
Ambas permitem bypass de autenticação e execução remota de código em appliances vulneráveis.
A campanha é atribuída a um grupo de ameaças conhecido como ArcaneDoor, suspeito de ligação com um coletivo hacker chinês chamado UAT4356 (também conhecido como Storm-1849).
Em alguns casos, os invasores modificaram o ROMMON (Read-Only Memory Monitor), componente responsável pelo gerenciamento do boot e testes diagnósticos dos dispositivos ASA, para garantir persistência mesmo após reinicializações e atualizações de software.
Essas alterações foram identificadas apenas em placas ASA 5500-X que não contam com as tecnologias Secure Boot e Trust Anchor.
A Cisco confirmou que os modelos ASA 5500-X executando versões 9.12 ou 9.14 do ASA Software, com VPN web services ativado e sem suporte a Secure Boot e Trust Anchor, foram comprometidos.
Vale destacar que todos esses dispositivos já atingiram o fim do ciclo de suporte (EoS) ou terão essa data na próxima semana, conforme detalhado abaixo:
- 5512-X e 5515-X – fim do suporte em 31 de agosto de 2022
- 5585-X – fim do suporte em 31 de maio de 2023
- 5525-X, 5545-X e 5555-X – fim do suporte previsto para 30 de setembro de 2025
Além disso, a Cisco corrigiu uma terceira vulnerabilidade crítica (
CVE-2025-20363
, pontuação CVSS 8.5/9.0) nas web services dos softwares ASA, Secure Firewall Threat Defense (FTD), IOS, IOS XE e IOS XR, que permitiria a um atacante remoto executar código arbitrário com privilégios de root.
De acordo com a empresa, “um invasor poderia explorar essa falha enviando requisições HTTP maliciosas para os serviços web afetados após coletar informações adicionais ou contornar mecanismos de proteção”.
Um ataque bem-sucedido poderia comprometer totalmente o dispositivo.
Diferentemente das outras vulnerabilidades, não há evidências de exploração ativa dessa falha no ambiente real até o momento.
Ela foi descoberta pela Cisco Advanced Security Initiatives Group (ASIG) durante o suporte técnico da Cisco TAC.
O Centro Canadense de Segurança Cibernética também alertou organizações locais para que atualizem seus dispositivos o quanto antes, mitigando o risco das ameaças exploradas.
O NCSC do Reino Unido, em um comunicado de 25 de setembro, detalhou que os ataques utilizam um bootkit em várias etapas chamado RayInitiator para implantar um carregador de shellcode em modo usuário conhecido como LINE VIPER nos dispositivos ASA.
O RayInitiator é um bootkit persistente baseado no GRUB (GRand Unified Bootloader) que permanece ativo mesmo após reinicializações e atualizações de firmware.
Ele carrega o LINE VIPER na memória, que pode executar comandos CLI, capturar pacotes, ignorar autenticação, autorização e contabilização (AAA) de VPN para dispositivos dos atacantes, suprimir mensagens de syslog, coletar comandos digitados pelos usuários e forçar reinicializações programadas.
Para isso, o bootkit instala um manipulador dentro de um binário legítimo do ASA chamado “lina” – abreviação de Linux-based Integrated Network Architecture –, sistema operacional que roda as funções principais do firewall ASA.
O LINE VIPER é descrito como “mais abrangente” do que o malware Line Dancer, usando duas formas para se comunicar com servidores de comando e controle (C2): por sessões autenticadas de WebVPN via HTTPS e também via ICMP com respostas por TCP raw.
Ele realiza diversas modificações no “lina” para evitar rastros forenses e impedir a detecção de alterações em comandos CLI como copy e verify.
Segundo o NCSC, “a implementação do LINE VIPER via um bootkit persistente, aliada ao uso intensificado de técnicas de evasão, demonstra uma escalada na sofisticação dos atores e aprimoramento das operações em comparação à campanha ArcaneDoor documentada publicamente em 2024”.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...