Cisco ASA khai thác lỗ hổng Zero-Day triển khai mã dộc RayInitiator, LINE VIPER

[Starlink]

Trung tâm An ninh mạng quốc gia Anh (NCSC) đã tiết lộ rằng các tác nhân đe dọa đã khai thác các lỗ hổng bảo mật mới được tiết lộ ảnh hưởng đến tường lửa của Cisco như một phần của các cuộc tấn công zero-day để phát tán các nhóm phần mềm độc hại chưa từng được ghi nhận trước đây như RayInitiator và LINE VIPER.

Cơ quan này cho biết : "Phần mềm độc hại RayInitiator và LINE VIPER là sự tiến hóa đáng kể so với phần mềm độc hại được sử dụng trong chiến dịch trước, cả về mặt tinh vi lẫn khả năng trốn tránh phát hiện".

Cisco hôm thứ Năm đã tiết lộ rằng họ đã bắt đầu điều tra các cuộc tấn công vào nhiều cơ quan chính phủ có liên quan đến chiến dịch do nhà nước tài trợ vào tháng 5 năm 2025 nhằm vào các thiết bị Adaptive Security Appliance (ASA) dòng 5500-X để cấy phần mềm độc hại, thực thi lệnh và có khả năng đánh cắp dữ liệu từ các thiết bị bị xâm phạm.

Một phân tích chuyên sâu về chương trình cơ sở được trích xuất từ các thiết bị bị nhiễm chạy phần mềm Cisco Secure Firewall ASA có bật dịch vụ web VPN cuối cùng đã phát hiện ra lỗi hỏng bộ nhớ trong phần mềm sản phẩm, báo cáo cho biết thêm.

Công ty cho biết : "Những kẻ tấn công đã khai thác nhiều lỗ hổng bảo mật zero-day và sử dụng các kỹ thuật trốn tránh tiên tiến như vô hiệu hóa việc ghi nhật ký, chặn lệnh CLI và cố tình làm hỏng thiết bị để ngăn chặn việc phân tích chẩn đoán".

Hoạt động này liên quan đến việc khai thác lỗ hổng CVE-2025-20362 (điểm CVSS: 6,5) và CVE-2025-20333 (điểm CVSS: 9,9) để bỏ qua xác thực và thực thi mã độc trên các thiết bị dễ bị tấn công. Chiến dịch này được đánh giá là có liên quan đến một cụm đe dọa có tên ArcaneDoor, được cho là do một nhóm tin tặc bị nghi ngờ có liên hệ với Trung Quốc, được gọi là UAT4356 (hay còn gọi là Storm-1849).

Ngoài ra, trong một số trường hợp, tác nhân đe dọa được cho là đã sửa đổi ROMMON (viết tắt của Read-Only Memory Monitor ) – chịu trách nhiệm quản lý quy trình khởi động và thực hiện các bài kiểm tra chẩn đoán trong thiết bị ASA – để duy trì hoạt động qua các lần khởi động lại và nâng cấp phần mềm. Tuy nhiên, những sửa đổi này chỉ được phát hiện trên các nền tảng Cisco ASA 5500-X Series không có công nghệ Secure Boot và Trust Anchor.

Cisco cũng cho biết chiến dịch đã xâm nhập thành công các model ASA 5500-X Series chạy Cisco ASA Software phiên bản 9.12 hoặc 9.14 có bật dịch vụ web VPN và không hỗ trợ công nghệ Secure Boot và Trust Anchor. Tất cả các thiết bị bị ảnh hưởng đều đã đến giai đoạn kết thúc hỗ trợ (EoS) hoặc sắp đạt trạng thái EoS vào tuần tới:

    5512-X và 5515-X – Ngày hỗ trợ cuối cùng: 31 tháng 8 năm 2022
    5585-X – Ngày hỗ trợ cuối cùng: 31 tháng 5 năm 2023
    5525-X, 5545-X và 5555-X – Ngày hỗ trợ cuối cùng: 30 tháng 9 năm 2025

Hơn nữa, công ty lưu ý rằng họ đã giải quyết lỗ hổng nghiêm trọng thứ ba (CVE-2025-20363, điểm CVSS: 8,5/9,0) trong các dịch vụ web của Phần mềm Adaptive Security Appliance (ASA), Phần mềm Secure Firewall Threat Defense (FTD), Phần mềm IOS, Phần mềm IOS XE và Phần mềm IOS XR có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý trên thiết bị bị ảnh hưởng.

"Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu HTTP được thiết kế sẵn đến một dịch vụ web mục tiêu trên thiết bị bị ảnh hưởng sau khi thu thập thêm thông tin về hệ thống, vượt qua các biện pháp giảm thiểu khai thác, hoặc cả hai", công ty cho biết. "Một khi khai thác thành công, kẻ tấn công có thể thực thi mã tùy ý dưới quyền root, điều này có thể dẫn đến việc chiếm quyền điều khiển hoàn toàn thiết bị bị ảnh hưởng."

Không giống như CVE-2025-20362 và CVE-2025-20333, không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong thực tế với mục đích xấu. Cisco cho biết lỗ hổng này đã được Nhóm Sáng kiến Bảo mật Nâng cao Cisco (ASIG) phát hiện trong quá trình giải quyết một trường hợp hỗ trợ TAC của Cisco.

Trung tâm An ninh mạng Canada đã kêu gọi các tổ chức trong nước hành động càng sớm càng tốt để chống lại mối đe dọa bằng cách cập nhật lên phiên bản sửa lỗi của các sản phẩm Cisco ASA và FTD.

Trong một khuyến cáo được công bố vào ngày 25 tháng 9, NCSC của Anh tiết lộ rằng các cuộc tấn công đã lợi dụng một bộ công cụ khởi động nhiều giai đoạn có tên là RayInitiator để triển khai trình tải mã shell chế độ người dùng được gọi là LINE VIPER vào thiết bị ASA.

RayInitiator là một bộ khởi động GRand Unified Bootloader (GRUB) bền bỉ được nạp vào thiết bị nạn nhân, đồng thời có khả năng chịu được các lần khởi động lại và nâng cấp firmware. Nó chịu trách nhiệm tải LINE VIPER vào bộ nhớ, có thể chạy các lệnh CLI, thực hiện bắt gói tin, bỏ qua Xác thực, Ủy quyền và Kế toán VPN (AAA) cho các thiết bị tác nhân, chặn thông báo syslog, thu thập lệnh CLI của người dùng và buộc khởi động lại trễ.

Bootkit thực hiện điều này bằng cách cài đặt một trình xử lý bên trong tệp nhị phân ASA hợp lệ có tên là "lina" để thực thi LINE VIPER. Lina, viết tắt của Linux-based Integrated Network Architecture (Kiến trúc Mạng Tích hợp dựa trên Linux), là phần mềm hệ điều hành tích hợp các chức năng tường lửa cốt lõi của ASA.

Được mô tả là "toàn diện hơn" so với Line Dancer, LINE VIPER sử dụng hai phương thức giao tiếp với máy chủ chỉ huy và điều khiển (C2): các phiên xác thực máy khách WebVPN qua HTTPS, hoặc qua ICMP với phản hồi qua TCP thô. Nó cũng được thiết kế để thực hiện một số sửa đổi đối với "lina" nhằm tránh để lại dấu vết pháp y và ngăn chặn việc phát hiện các sửa đổi đối với các lệnh CLI như sao chép và xác minh.

NCSC cho biết: "Việc triển khai LINE VIPER thông qua bộ công cụ tấn công liên tục, kết hợp với việc chú trọng hơn vào các kỹ thuật né tránh phòng thủ, cho thấy mức độ tinh vi của tác nhân tăng lên và cải thiện về bảo mật hoạt động so với chiến dịch ArcaneDoor được ghi nhận công khai vào năm 2024".