Het UK National Cyber Security Center (NCSC) heeft aangetoond dat dreigingsactoren de onlangs bekendgemaakte beveiligingsfouten hebben benutten die van invloed zijn op Cisco Firewalls als onderdeel van nul-day-aanvallen om eerder mensen zonder papieren te leveren, zoals Rayinitiator En Lijn Viper.
“De Rayinitiator en Line Viper -malware vormen een belangrijke evolutie over die in de vorige campagne, zowel in verfijning als in het vermogen om detectie te ontwijken,” zei het bureau.
Cisco heeft donderdag aangetoond dat het begon met het onderzoeken van aanvallen op meerdere overheidsinstanties die in verband zijn gebracht met de door de staat gesponsorde campagne in mei 2025 die gericht was op ADAPTive Security Appliance (ASA) 5500-X-serie-apparaten om malware te implanteren, commando’s uit te voeren en mogelijk gegevens van de gecompromitteerde hulpmiddelen te vergroten.
Een diepgaande analyse van firmware die is geëxtraheerd uit de geïnfecteerde apparaten met Cisco Secure Firewall ASA-software met VPN-webservices, leidde uiteindelijk tot de ontdekking van een geheugencorruptie-bug in de productsoftware, voegde het eraan toe.
“Aanvallers werden waargenomen dat ze meerdere nul-daagse kwetsbaarheden hadden benut en geavanceerde ontwijkingstechnieken hebben gebruikt, zoals het uitschakelen van logging, het onderscheppen van CLI-commando’s en opzettelijk crashende apparaten om diagnostische analyse te voorkomen,” zei het bedrijf.
De activiteit omvat de exploitatie van CVE-2025-20362 (CVSS-score: 6.5) en CVE-2025-20333 (CVSS-score: 9.9) om authenticatie te omzeilen en kwaadaardige code uit te voeren op gevoelige apparaten. De campagne wordt beoordeeld te worden gekoppeld aan een bedreigingscluster genaamd Arcanedoor, dat werd toegeschreven aan een vermoedelijke China-gekoppelde hackgroep die bekend staat als UAT4356 (aka Storm-1849).
Bovendien wordt in sommige gevallen gezegd dat de dreigingsacteur Rommon heeft aangepast (kort voor alleen-lezen geheugenmonitor)-die verantwoordelijk is voor het beheren van het opstartproces en het uitvoeren van diagnostische tests in ASA-apparaten-om doorzettingsvermogen tussen reboots en software-upgrades te vergemakkelijken. Dat gezegd hebbende, deze wijzigingen zijn alleen gedetecteerd op Cisco ASA 5500-X-serie platforms die geen veilige opstart- en vertrouwen-ankertechnologieën missen.
Cisco zei ook dat de campagne met succes de ASA 5500-X-serie modellen heeft aangetast met Cisco ASA-software releases 9.12 of 9.14 met VPN-webservices ingeschakeld en die geen veilige opstart- en trust-ankertechnologieën ondersteunen. Alle getroffen apparaten hebben eind-of-support (EOS) bereikt of staan op het punt om de EOS-status te bereiken tegen volgende week-
- 5512-X en 5515-X-laatste datum van steun: 31 augustus 2022
- 5585-X-laatste datum van steun: 31 mei 2023
- 5525-X, 5545-X en 5555-X-laatste datum van steun: 30 september 2025
Verder merkte het bedrijf op dat het een derde kritische fout (CVE-2025-20363, CVSS-score heeft aangepakt: 8.5/9.0) in de webservices van Adaptive Security Appliance (ASA) -software, Secure Firewall Threat Defense (FTD) Software, iOS Software, iOS XE-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software en IOS XR-software kunnen toestaan.
“Een aanvaller zou deze kwetsbaarheid kunnen benutten door bewerkte HTTP -aanvragen naar een gerichte webservice op een getroffen apparaat te sturen na het verkrijgen van aanvullende informatie over het systeem, het overwinnen van exploit -mitigaties, of beide,” zei het. “Een succesvolle exploit kan de aanvaller in staat stellen willekeurige code als root uit te voeren, wat kan leiden tot het volledige compromis van het getroffen apparaat.”
In tegenstelling tot CVE-2025-20362 en CVE-2025-20333, is er geen bewijs dat de kwetsbaarheid in een kwaadaardige context in het wild is uitgebuit. Cisco zei dat de tekortkoming werd ontdekt door de Cisco Advanced Security Initiatives Group (ASIG) tijdens de resolutie van een Cisco TAC -ondersteuningszaak.
Het Canadian Center for Cyber Security heeft aangespoord organisaties in het land zo snel mogelijk actie te ondernemen om de dreiging tegen te gaan door bij te werken naar een vaste versie van Cisco ASA- en FTD -producten.
Het Britse NCSC, in een advies dat op 25 september werd uitgebracht, onthulde dat de aanvallen een multi-fasen bootkit genaamd Rayinitiator hebben gebruikt om een gebruikersmodus ShellCode-lader te implementeren die bekend staat als Line Viper in het ASA-apparaat.
Rayinitiator is een aanhoudende Grand Unified Bootloader (GRUB) bootkit die wordt geflitst naar slachtofferapparaten, terwijl hij in staat is om reboots en firmware -upgrades te overleven. Het is verantwoordelijk voor het laden in geheugenlijn Viper, die CLI -opdrachten kan uitvoeren, pakketafdrukken kan uitvoeren, VPN -authenticatie, autorisatie en boekhouding (AAA) voor acteurapparaten kan omzeilen, syslogberichten onderdrukken, gebruikersopdrachten van de gebruikersklog oogsten en een vertraagde reboot forceren.
De bootkit bereikt dit door een handler te installeren binnen een legitiem ASA -binair genaamd “Lina” om Line Viper uit te voeren. Lina, kort voor Linux-gebaseerde geïntegreerde netwerkarchitectuur, is de besturingssysteemsoftware die de kernfirewall-functionaliteiten van de ASA integreert.
Beschreven als “uitgebreider” dan lijndanseres, gebruikt Line Viper twee methoden voor communicatie met de command-and-control (C2) -server: WebVPN-clientauthenticatiesessies via HTTPS of via ICMP met antwoorden op RAW TCP. Het is ook ontworpen om een aantal wijzigingen aan te brengen aan “Lina” om te voorkomen dat een forensisch pad wordt verlaten en detectie van wijzigingen in CLI -opdrachten zoals kopiëren en verifiëren.
“De inzet van Line Viper via een aanhoudende bootkit, gecombineerd met een grotere nadruk op verdedigingstechnieken voor defensie, toont een toename van de verfijning en verbetering van de acteur in operationele beveiliging in vergelijking met de Arcanedoor -campagne die publiekelijk in 2024 is gedocumenteerd,” zei de NCSC.
