El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha revelado que los actores de amenaza usarán fallas de seguridad recientemente reveladas como parte de sus ataques de día cero para proporcionar familias de malware previamente indocumentadas, como Rayinitator y Line Viper.
«El malware de Rayinitator y Line Viper representan una evolución significativa de lo que se utilizó en campañas anteriores, tanto en sus sofisticadas capacidades de detección», dijo la agencia.
Cisco anunció el jueves que había lanzado una investigación sobre ataques contra múltiples agencias gubernamentales relacionadas con la campaña patrocinada por el estado en mayo de 2025.
Un análisis detallado del firmware extraído de dispositivos infectados que ejecutan el software Cisco Secure Firewall ASA utilizando un servicio web VPN finalmente descubrió un error de corrupción de memoria en el software del producto.
«Se ha observado que los atacantes han explotado múltiples vulnerabilidades de día cero y han adoptado técnicas evasivas avanzadas, como deshabilitar el registro, interceptar comandos de CLI y evitar bloqueos de dispositivos para evitar el análisis de diagnóstico», dijo la compañía.
Esta actividad incluye la explotación de CVE-2025-20362 (puntaje CVSS: 6.5) y CVE-2025-20333 (puntaje CVSS: 9.9). La campaña está calificada como vinculada a un clúster de amenazas llamado Arcanedoor. Se cree que este es un presunto grupo de piratería relacionado con chino conocido como UAT4356 (también conocido como Storm-1849).
Además, en algunos casos, se dice que el actor de amenaza ha cambiado Romnon (abreviatura de un monitor de memoria de solo lectura). Es responsable de administrar el proceso de arranque y ejecutar pruebas de diagnóstico en dispositivos ASA, mejorando la persistencia de todo el reinicio y la actualización del software. Dicho esto, estos cambios solo se detectan en la plataforma de la serie Cisco ASA 5500-X, que carece de arranque seguro y tecnología de anclaje confiable.
Cisco también dijo que el modelo ASA 5500-X Series que ejecuta el software Cisco ASA ha lanzado con éxito 9.12 o 9.14, permitiendo los servicios web VPN y no admitir la tecnología de anclaje de arranque y confianza segura. Todos los dispositivos afectados han alcanzado el final del apoyo (EOS) o están a punto de alcanzar el estado de EOS para la próxima semana –
5512-X y 5515-X-Fecha del último soporte: 31 de agosto de 2022 5585-X-Último soporte: 31 de mayo de 2023 5525-x, 5545-x, 5555-x-Última fecha: 30 de septiembre de 2025
Además, la compañía señaló que aborda un tercer defecto importante (CVE-2025-20363, puntaje CVSS: 8.5/9.0) en su servicio web de software iOS XR que le permite ejecutar el software XR desde el dispositivo de seguridad adaptativo (ASA), el software Secure Firewall Defense (FTD), el software iOS, el software iOS XE y el software IOS XR hasta los atacantes de Run Run Catinas.
«Los atacantes pueden explotar esta vulnerabilidad obteniendo información adicional sobre el sistema, superando la mitigación de explotación y superando ambos», dijo, enviando solicitudes HTTP inteligentes al servicio web objetivo en el dispositivo afectado. «Un exploit exitoso permite a un atacante ejecutar código arbitrario como raíz, lo que podría conducir a un compromiso completo en el dispositivo afectado».
A diferencia de CVE-2025-20362 y CVE-2025-20333, no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza en un contexto malicioso. Cisco dijo que sus deficiencias fueron descubiertas por el Grupo de Iniciativas de Seguridad Avanzada de Cisco (ASIG) durante la resolución del caso de soporte de Cisco TAC.
El Centro de Ciberseguridad de Canadá insta a las organizaciones nacionales a contrarrestar la amenaza lo más rápido posible actualizando versiones fijas de los productos Cisco ASA y FTD.
En un aviso publicado el 25 de septiembre, el NCSC del Reino Unido reveló que los ataques aprovecharon un botín de varias etapas llamado Rayinitiator para implementar un cargador de código de sellado de modo de usuario conocido como viper de línea en el dispositivo ASA.
Rayinitiator es un bootkit permanente de Grand Unified Bootloader (GRUB) que se interpone a los dispositivos de víctimas y aún puede sobrevivir a los reinicios y las actualizaciones de firmware. Puede ejecutar comandos CLI, realizar captura de paquetes, omitir la autenticación VPN, omitir la autenticación de VPN, la autorización de subvenciones, cargarlo en la contabilidad (AAA) de un dispositivo de actor, suprimir los mensajes de Syslog, cosechar comandos CLI de los usuarios y reiniciar los reinicios retrasados de la fuerza.
Bootkit logra esto instalando un manejador dentro de un binario ASA legal llamado «Lina» y ejecutando un Viper de línea. Lina, abreviatura de arquitectura de red integrada basada en Linux, es un software del sistema operativo que integra las capacidades básicas de firewall de la ASA.
Descrito como «completo» que los bailarines de línea, Line Viper utiliza dos métodos para comunicarse con los servidores de comando y control (C2). Las sesiones de autenticación del cliente WebVPN se utilizan a través de HTTPS o a través de ICMP con respuestas a través de TCP sin procesar. También está diseñado para hacer muchos cambios en «Lina» para evitar que salga del sendero forense, evitando la detección de modificaciones del comando CLI, como la copia y la validación.
«El despliegue de Vipers de línea a través de kits de arranque permanentes y énfasis en la tecnología de evitación de defensa demuestra el refinamiento y las mejoras en la seguridad operativa para los actores en comparación con la campaña de Arcanedoor publicada en 2024», dijo el NCSC.
Source link
