Vulnerabilidade Zero-Day em firewalls Cisco ASA implantam malwares RayInitiator e LINE VIPER

O cenário de cibersegurança global elevou o nível de alerta após a confirmação de que vulnerabilidades de dia zero nos firewalls da Cisco Adaptive Security Appliance (ASA) foram ativamente exploradas para distribuir novas e sofisticadas famílias de malware, nomeadas RayInitiator e LINE VIPER. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) detalhou que os ataques representam uma evolução significativa nas táticas dos invasores, visando agências governamentais e dispositivos críticos.

A Cisco revelou que a investigação, iniciada após ataques a órgãos governamentais ligados a uma campanha em maio de 2025, detectou o comprometimento de dispositivos ASA série 5500-X. Os hackers exploraram as falhas para instalar malware, executar comandos e potencialmente exfiltrar dados.

Os invasores, atribuídos ao grupo ArcaneDoor (também conhecido como UAT4356 ou Storm-1849, suspeito de ter ligações com a China), demonstraram um alto grau de sofisticação. A campanha envolveu a exploração das vulnerabilidades CVE-2025-20362 (CVSS: 6.5) e CVE-2025-20333 (CVSS: 9.9) para contornar a autenticação e executar código malicioso.

Segundo a Cisco, os hackers não apenas exploraram múltiplas vulnerabilidades de dia zero, mas também empregaram técnicas avançadas de evasão, como desativar registros (logs), interceptar comandos de Command Line Interface (CLI) e travar dispositivos propositalmente para dificultar a análise de diagnóstico.

Em alguns casos mais graves, o invasor teria modificado o ROMMON (Read-Only Memory Monitor), o firmware responsável pela inicialização do dispositivo. Essa modificação no ROMMON, detectada em plataformas ASA série 5500-X sem as tecnologias Secure Boot e Trust Anchor, garante a persistência do malware mesmo após reinicializações e atualizações de software.

O NCSC detalhou que os ataques utilizaram um bootkit multiestágio chamado RayInitiator para implantar um carregador de shellcode em modo de usuário, conhecido como LINE VIPER, no dispositivo ASA.

1. RayInitiator (Bootkit Persistente): Descrito como um bootkit GRand Unified Bootloader (GRUB) persistente, ele é instalado nos dispositivos e é capaz de sobreviver a reinicializações e atualizações. Sua função principal é carregar o LINE VIPER diretamente na memória.

2. LINE VIPER (Carregador e Ferramenta de Espionagem): Esta é a carga útil final, descrita como "mais abrangente" que o malware anterior Line Dancer. O LINE VIPER é projetado para:

   • Executar comandos CLI.

   • Capturar pacotes.

   • Ignorar a autenticação, autorização e contabilidade (AAA) de VPN.

   • Suprimir mensagens do syslog (registro de eventos).

   • Coletar comandos CLI digitados pelo usuário.

   • Forçar uma reinicialização atrasada.

Para garantir sua execução e evasão, o bootkit instala um manipulador dentro do binário legítimo do ASA chamado "lina" — o software de sistema operacional que integra as funcionalidades principais do firewall. O LINE VIPER realiza diversas modificações no "lina" para evitar deixar rastros forenses e frustrar a detecção de modificações em comandos de diagnóstico.

O NCSC enfatizou que "A implantação do LINE VIPER por meio de um bootkit persistente, combinada com uma maior ênfase em técnicas de evasão de defesa, demonstra um aumento na sofisticação dos hackers e uma melhoria na segurança operacional" em comparação com campanhas anteriores.

A Cisco confirmou que os modelos da série ASA 5500-X que executam as versões 9.12 ou 9.14 do software ASA com serviços web VPN habilitados e que não possuem tecnologias de segurança avançada estão vulneráveis. É importante notar que todos os dispositivos afetados listados já atingiram ou estão prestes a atingir o Fim do Suporte (EoS), sublinhando o perigo de operar hardware legado.

Além disso, a empresa corrigiu uma terceira falha crítica (CVE-2025-20363, CVSS: 8.5/9.0) em seus serviços web (ASA Software, Secure Firewall FTD, IOS, IOS XE e IOS XR). Embora não haja evidência de exploração desta vulnerabilidade em ataques reais, ela é crítica, pois permitiria a um hacker remoto executar código arbitrário com privilégios de root, levando ao comprometimento total do dispositivo.

Em resposta à ameaça, o Centro Canadense de Segurança Cibernética e o NCSC do Reino Unido pediram urgência na atualização para as versões corrigidas dos produtos Cisco ASA e FTD, alertando as organizações para que combatam esta ameaça de alto nível o mais rápido possível.

Via - THN