El Centro Franquista de Seguridad Cibernética del Reino Unido (NCSC) ha revelado que los actores de amenaza han explotado los defectos de seguridad recientemente revelados que afectan los firewalls de Cisco como parte de los ataques de día cero para entregar familias de malware previamente indocumentadas como Rayiniciador y Víbora.
“El malware de Rayinitiator y Line Viper representan una transformación significativa sobre la utilizada en la campaña preparatorio, tanto en sofisticación como en su capacidad para evitar la detección”, dijo la agencia.
Cisco reveló el jueves que comenzó a investigar ataques a múltiples agencias gubernamentales vinculadas a la campaña patrocinada por el estado en mayo de 2025 que se dirigió a los dispositivos de la serie de seguridad adaptativa (ASA) 5500-X para implantar malware, ejecutar comandos y exfiltrar datos de los dispositivos comprometidos.
Un prospección en profundidad del firmware extraído de los dispositivos infectados que ejecutan el software Cisco Secure Firewall ASA con servicios web VPN habilitados finalmente condujo al descubrimiento de un error de corrupción de memoria en el software del producto, agregó.
“Se observó que los atacantes habían explotado múltiples vulnerabilidades de día cero y emplearon técnicas de entretenimiento descubierta, como deshabilitar el registro, interceptar comandos de CLI y circunvalar intencionalmente dispositivos para evitar el prospección de dictamen”, dijo la compañía.
La actividad implica la explotación de CVE-2025-20362 (puntaje CVSS: 6.5) y CVE-2025-20333 (puntaje CVSS: 9.9) para evitar la autenticación y ejecutar código taimado en aparatos susceptibles. Se evalúa que la campaña está vinculada a un congregación de amenazas denominado Arcanedoor, que se atribuyó a un supuesto congregación de piratería vinculado a China conocido como UAT4356 (igualmente conocido como Storm-1849).
Encima, en algunos casos, se dice que el actor de amenaza ha modificado a Rommon (iniciales de un maestro de memoria de solo repaso), que es responsable de cuidar el proceso de puesta en marcha y realizar pruebas de dictamen en dispositivos ASA, para suministrar la persistencia entre reinicios y actualizaciones de software. Dicho esto, estas modificaciones se han detectado solo en las plataformas de la serie Cisco ASA 5500-X que carecen de tecnologías seguras de botas y fideicomisos.
Cisco igualmente dijo que la campaña ha comprometido con éxito los modelos de la serie ASA 5500-X que ejecutan el software Cisco ASA venablo 9.12 o 9.14 con servicios web VPN habilitados, y que no admiten tecnologías seguras de fondeadero de botas y confianza. Todos los dispositivos afectados han atrapado el fin de apoyo (EOS) o están a punto de alcanzar el estado de EOS para la próxima semana-
- 5512-x y 5515-x-Última data de apoyo: 31 de agosto de 2022
- 5585-X-Última data de apoyo: 31 de mayo de 2023
- 5525-x, 5545-x y 5555-x-Última data de apoyo: 30 de septiembre de 2025
Encima, la compañía señaló que ha abordado un tercer defecto crítico (CVE-2025-20363, puntaje CVSS: 8.5/9.0) en los servicios web del software Adaptive Security Appliance (ASA), el software Secure Firewall Defense (FTD), el software de iOS, el software iOS XE y el software iOS XR que podría permitir a un atacante remoto a un atacante ejecutante de un atacante de Arbitrar, un dispositivo ARBITRARIO ARBITRARIO.
“Un atacante podría explotar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un servicio web dirigido en un dispositivo afectado a posteriori de obtener información adicional sobre el sistema, superando las mitigaciones de explotación o uno y otro”, dijo. “Una exploit exitosa podría permitir al atacante ejecutar el código despótico como raíz, lo que puede conducir al compromiso completo del dispositivo afectado”.
A diferencia de CVE-2025-20362 y CVE-2025-20333, no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza en un contexto taimado. Cisco dijo que la deficiencia fue descubierta por el Cisco Advanced Security Initiatives Group (ASIG) durante la resolución de un caso de soporte de Cisco TAC.
El Centro Canadiense de Seguridad Cibernética ha instado a las organizaciones en el país a tomar medidas lo antaño posible para contrarrestar la amenaza actualizando una lectura fija de los productos Cisco ASA y FTD.
El NCSC del Reino Unido, en un aviso publicado el 25 de septiembre, reveló que los ataques han trabajador un despojo de varias etapas llamado Rayinitiator para implementar un cargador de shellcode en modo de usufructuario conocido como Viper de tangente al dispositivo ASA.
Rayinitiator es un gran despojo persistente de Bootloader (GRUB) que se interpone a los dispositivos de víctimas, mientras que es capaz de sobrevivir reinicios y actualizaciones de firmware. Es responsable de cargar en Memory Line Viper, que puede ejecutar comandos CLI, realizar capturas de paquetes, excluir la autenticación de VPN, la autorización y la contabilidad (AAA) para los dispositivos de actores, suprimir los mensajes de Syslog, cosechar comandos CLI de usufructuario y forzar un reinicio retrasado.
El Bootkit logra esto instalando un regulador en el interior de un Binario ASA seguro llamado “Lina” para ejecutar Viper de tangente. Lina, iniciales de la inmueble de red integrada basada en Linux, es el software del sistema eficaz que integra las funcionalidades de firewall de la ASA.
Descrito como “más completo” que el bailarín de tangente, Line Viper utiliza dos métodos para la comunicación con el servidor de comando y control (C2): sesiones de autenticación del cliente WebVPN a través de HTTPS, o a través de ICMP con respuestas sobre TCP sin procesar. Asimismo está diseñado para hacer una serie de modificaciones a “Lina” para evitar dejar un sendero forense y evitar la detección de modificaciones a comandos CLI como copiar y efectuar.
“El despliegue de Viper de tangente a través de un despojo persistente, combinado con un maduro afectación en las técnicas de entretenimiento de defensa, demuestra un aumento en la sofisticación de los actores y la restablecimiento en la seguridad operativa en comparación con la campaña de Arcanedoor documentada públicamente en 2024”, dijo el NCSC.
