El Centro Franquista de Seguridad Cibernética del Reino Unido (NCSC) ha revelado que los actores de amenaza han explotado los defectos de seguridad recientemente revelados que afectan los firewalls de Cisco como parte de los ataques de día cero para entregar familias de malware previamente indocumentadas como Rayiniciador y Víbora.
«El malware de Rayinitiator y Line Viper representan una cambio significativa sobre la utilizada en la campaña previo, tanto en sofisticación como en su capacidad para escamotear la detección», dijo la agencia.
Cisco reveló el jueves que comenzó a investigar ataques a múltiples agencias gubernamentales vinculadas a la campaña patrocinada por el estado en mayo de 2025 que se dirigió a los dispositivos de la serie de seguridad adaptativa (ASA) 5500-X para implantar malware, ejecutar comandos y exfiltrar datos de los dispositivos comprometidos.
Un investigación en profundidad del firmware extraído de los dispositivos infectados que ejecutan el software Cisco Secure Firewall ASA con servicios web VPN habilitados finalmente condujo al descubrimiento de un error de corrupción de memoria en el software del producto, agregó.
«Se observó que los atacantes habían explotado múltiples vulnerabilidades de día cero y emplearon técnicas de despreocupación avanzadilla, como deshabilitar el registro, interceptar comandos de CLI y aislar intencionalmente dispositivos para evitar el investigación de diagnosis», dijo la compañía.
La actividad implica la explotación de CVE-2025-20362 (puntaje CVSS: 6.5) y CVE-2025-20333 (puntaje CVSS: 9.9) para evitar la autenticación y ejecutar código taimado en aparatos susceptibles. Se evalúa que la campaña está vinculada a un clase de amenazas denominado Arcanedoor, que se atribuyó a un supuesto clase de piratería vinculado a China conocido como UAT4356 (asimismo conocido como Storm-1849).
Encima, en algunos casos, se dice que el actor de amenaza ha modificado a Rommon (iniciales de un celador de memoria de solo recitación), que es responsable de tener la llave de la despensa el proceso de puesta en marcha y realizar pruebas de diagnosis en dispositivos ASA, para entregar la persistencia entre reinicios y actualizaciones de software. Dicho esto, estas modificaciones se han detectado solo en las plataformas de la serie Cisco ASA 5500-X que carecen de tecnologías seguras de botas y fideicomisos.
Cisco asimismo dijo que la campaña ha comprometido con éxito los modelos de la serie ASA 5500-X que ejecutan el software Cisco ASA asta 9.12 o 9.14 con servicios web VPN habilitados, y que no admiten tecnologías seguras de atraque de botas y confianza. Todos los dispositivos afectados han atrapado el fin de apoyo (EOS) o están a punto de alcanzar el estado de EOS para la próxima semana-
- 5512-x y 5515-x-Última plazo de apoyo: 31 de agosto de 2022
- 5585-X-Última plazo de apoyo: 31 de mayo de 2023
- 5525-x, 5545-x y 5555-x-Última plazo de apoyo: 30 de septiembre de 2025
Encima, la compañía señaló que ha abordado un tercer defecto crítico (CVE-2025-20363, puntaje CVSS: 8.5/9.0) en los servicios web del software Adaptive Security Appliance (ASA), el software Secure Firewall Defense (FTD), el software de iOS, el software iOS XE y el software iOS XR que podría permitir a un atacante remoto a un atacante ejecutor de un atacante de Arbitrar, un dispositivo ARBITRARIO ARBITRARIO.
«Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un servicio web dirigido en un dispositivo afectado posteriormente de obtener información adicional sobre el sistema, superando las mitigaciones de explotación o entreambos», dijo. «Una exploit exitosa podría permitir al atacante ejecutar el código gratuito como raíz, lo que puede conducir al compromiso completo del dispositivo afectado».
A diferencia de CVE-2025-20362 y CVE-2025-20333, no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza en un contexto taimado. Cisco dijo que la deficiencia fue descubierta por el Cisco Advanced Security Initiatives Group (ASIG) durante la resolución de un caso de soporte de Cisco TAC.
El Centro Canadiense de Seguridad Cibernética ha instado a las organizaciones en el país a tomar medidas lo antiguamente posible para contrarrestar la amenaza actualizando una traducción fija de los productos Cisco ASA y FTD.
El NCSC del Reino Unido, en un aviso publicado el 25 de septiembre, reveló que los ataques han estudioso un trofeo de varias etapas llamado Rayinitiator para implementar un cargador de shellcode en modo de legatario conocido como Viper de fila al dispositivo ASA.
Rayinitiator es un gran trofeo persistente de Bootloader (GRUB) que se interpone a los dispositivos de víctimas, mientras que es capaz de sobrevivir reinicios y actualizaciones de firmware. Es responsable de cargar en Memory Line Viper, que puede ejecutar comandos CLI, realizar capturas de paquetes, callar la autenticación de VPN, la autorización y la contabilidad (AAA) para los dispositivos de actores, suprimir los mensajes de Syslog, cosechar comandos CLI de legatario y forzar un reinicio retrasado.
El Bootkit logra esto instalando un regulador internamente de un Binario ASA cierto llamado «Lina» para ejecutar Viper de fila. Lina, iniciales de la obra de red integrada basada en Linux, es el software del sistema eficaz que integra las funcionalidades de firewall de la ASA.
Descrito como «más completo» que el bailarín de fila, Line Viper utiliza dos métodos para la comunicación con el servidor de comando y control (C2): sesiones de autenticación del cliente WebVPN a través de HTTPS, o a través de ICMP con respuestas sobre TCP sin procesar. Igualmente está diseñado para hacer una serie de modificaciones a «Lina» para evitar dejar un sendero forense y evitar la detección de modificaciones a comandos CLI como copiar y efectuar.
«El despliegue de Viper de fila a través de un trofeo persistente, combinado con un anciano afectación en las técnicas de despreocupación de defensa, demuestra un aumento en la sofisticación de los actores y la restablecimiento en la seguridad operativa en comparación con la campaña de Arcanedoor documentada públicamente en 2024», dijo el NCSC.
