Các khai thác Zero-Day trên Cisco ASA Firewall triển khai mã độc RayInitiator và LINE VIPER

Trung tâm An ninh mạng Quốc gia Vương quốc Anh (NCSC) đã tiết lộ rằng các tác nhân đe dọa đã khai thác các lỗ hổng bảo mật mới được công bố ảnh hưởng đến Cisco firewalls như một phần của các cuộc tấn công Zero-Day để phát tán các họ mã độc chưa từng được ghi nhận trước đây như RayInitiator và LINE VIPER.

"Mã độc RayInitiator và LINE VIPER thể hiện một sự phát triển đáng kể so với những gì được sử dụng trong chiến dịch trước đây, cả về mức độ tinh vi và khả năng né tránh phát hiện," cơ quan này cho biết.

Cisco vào thứ Năm đã tiết lộ rằng họ bắt đầu điều tra các cuộc tấn công vào nhiều cơ quan chính phủ liên quan đến chiến dịch được nhà nước bảo trợ vào tháng 5 năm 2025 nhằm vào các thiết bị Adaptive Security Appliance (ASA) 5500-X Series để cấy mã độc, thực thi lệnh và có khả năng đánh cắp dữ liệu từ các thiết bị bị xâm nhập.

Một phân tích chuyên sâu về firmware được trích xuất từ các thiết bị bị nhiễm đang chạy Cisco Secure Firewall ASA Software với các dịch vụ web VPN được bật cuối cùng đã dẫn đến việc phát hiện ra một lỗi memory corruption trong phần mềm sản phẩm, công ty cho biết thêm.

"Các kẻ tấn công đã được quan sát thấy đã khai thác nhiều lỗ hổng Zero-Day và sử dụng các kỹ thuật né tránh tiên tiến như vô hiệu hóa logging, chặn các lệnh CLI, và cố ý làm treo thiết bị để ngăn chặn phân tích chẩn đoán," công ty cho biết.

Hoạt động này liên quan đến việc khai thác CVE-2025-20362 (CVSS score: 6.5) và CVE-2025-20333 (CVSS score: 9.9) để bỏ qua xác thực và thực thi mã độc trên các thiết bị dễ bị tổn thương. Chiến dịch này được đánh giá là có liên quan đến một nhóm đe dọa được đặt tên là ArcaneDoor, được cho là thuộc về một nhóm hacker bị nghi ngờ có liên quan đến Trung Quốc, được gọi là UAT4356 (còn gọi là Storm-1849).

Ngoài ra, trong một số trường hợp, kẻ tấn công được cho là đã sửa đổi ROMMON (viết tắt của Read-Only Memory Monitor) – chịu trách nhiệm quản lý quá trình khởi động và thực hiện các kiểm tra chẩn đoán trong các thiết bị ASA – để tạo điều kiện duy trì sự tồn tại qua các lần khởi động lại và nâng cấp phần mềm. Tuy nhiên, những sửa đổi này chỉ được phát hiện trên các nền tảng Cisco ASA 5500-X Series thiếu các công nghệ Secure Boot và Trust Anchor.

Cisco cũng cho biết chiến dịch này đã thành công xâm nhập các mẫu ASA 5500-X Series đang chạy các phiên bản Cisco ASA Software 9.12 hoặc 9.14 với các dịch vụ web VPN được bật, và không hỗ trợ các công nghệ Secure Boot và Trust Anchor. Tất cả các thiết bị bị ảnh hưởng đã hết hạn hỗ trợ (EoS) hoặc sắp đạt trạng thái EoS vào tuần tới -

• 5512-X và 5515-X – Ngày hỗ trợ cuối cùng: 31 tháng 8 năm 2022
• 5585-X – Ngày hỗ trợ cuối cùng: 31 tháng 5 năm 2023
• 5525-X, 5545-X, và 5555-X – Ngày hỗ trợ cuối cùng: 30 tháng 9 năm 2025

Hơn nữa, công ty lưu ý rằng họ đã khắc phục một lỗ hổng nghiêm trọng thứ ba (CVE-2025-20363, CVSS score: 8.5/9.0) trong các dịch vụ web của Adaptive Security Appliance (ASA) Software, Secure Firewall Threat Defense (FTD) Software, IOS Software, IOS XE Software, và IOS XR Software mà có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trên một thiết bị bị ảnh hưởng.

"Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các HTTP requests được tạo đặc biệt đến một dịch vụ web được nhắm mục tiêu trên một thiết bị bị ảnh hưởng sau khi thu thập thông tin bổ sung về hệ thống, vượt qua các biện pháp giảm thiểu exploit, hoặc cả hai," công ty cho biết. "Một exploit thành công có thể cho phép kẻ tấn công thực thi mã tùy ý với quyền root, điều này có thể dẫn đến việc kiểm soát hoàn toàn thiết bị bị ảnh hưởng."

Không giống như CVE-2025-20362 và CVE-2025-20333, không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế trong một ngữ cảnh độc hại. Cisco cho biết thiếu sót này được phát hiện bởi Cisco Advanced Security Initiatives Group (ASIG) trong quá trình giải quyết một trường hợp hỗ trợ Cisco TAC.

Trung tâm An ninh mạng Canada đã kêu gọi các tổ chức trong nước hành động càng sớm càng tốt để chống lại mối đe dọa bằng cách cập nhật lên phiên bản vá lỗi của các sản phẩm Cisco ASA và FTD.

NCSC của Vương quốc Anh, trong một bản tư vấn phát hành ngày 25 tháng 9, đã tiết lộ các cuộc tấn công đã tận dụng một bootkit đa giai đoạn có tên RayInitiator để triển khai một user-mode shellcode loader được gọi là LINE VIPER vào thiết bị ASA.

RayInitiator là một bootkit GRand Unified Bootloader (GRUB) có khả năng tồn tại qua các lần khởi động lại và nâng cấp firmware. Nó chịu trách nhiệm nạp LINE VIPER vào bộ nhớ, có thể chạy các lệnh CLI, thực hiện packet captures, bỏ qua VPN Authentication, Authorization, and Accounting (AAA) cho các thiết bị của kẻ tấn công, ngăn chặn tin nhắn syslog, thu thập các lệnh CLI của người dùng và buộc khởi động lại thiết bị sau một khoảng thời gian trì hoãn.

Bootkit này hoàn thành điều này bằng cách cài đặt một handler trong một file nhị phân ASA hợp pháp có tên "lina" để thực thi LINE VIPER. Lina, viết tắt của Linux-based Integrated Network Architecture, là phần mềm hệ điều hành tích hợp các chức năng firewall cốt lõi của ASA.

Được mô tả là "toàn diện hơn" so với Line Dancer, LINE VIPER sử dụng hai phương pháp để giao tiếp với máy chủ command-and-control (C2): các phiên xác thực client WebVPN qua HTTPS, hoặc thông qua ICMP với phản hồi qua raw TCP. Nó cũng được thiết kế để thực hiện một số sửa đổi đối với "lina" để tránh để lại dấu vết pháp y và ngăn chặn việc phát hiện các sửa đổi đối với các lệnh CLI như copy và verify.

"Việc triển khai LINE VIPER thông qua một persistent bootkit, kết hợp với việc chú trọng hơn vào các kỹ thuật defence evasion, cho thấy sự gia tăng về mức độ tinh vi của kẻ tấn công và sự cải thiện trong operational security so với chiến dịch ArcaneDoor được công bố rộng rãi vào năm 2024," NCSC cho biết.