National Cyber Security Centre (NCSC) بریتانیا اعلام کرده که بازیگران تهدید، آسیب پذیریهایی که اخیرا در فایروالهای Cisco افشاء شدن رو اکسپلویت و از اونا در حملاتی استفاده کردن تا بدافزارهای جدید و پیچیده ای مانند RayInitiator و LINE VIPER رو مستقر کنن.
سیسکو روز پنجشنبه اعلام کرد که از ماه مه ۲۰۲۵ تحقیقات در خصوص حملاتی رو شروع کرده که سازمانهای متعددی رو تحت تاثیر قرار داده. این کمپین دستگاههای Adaptive Security Appliance (ASA) 5500-X Series رو هدف قرار داده تا هکرها بتونن روشون بدافزار نصب کنن، دستورات رو اجرا کنن و احتمالاً داده هایی رو از دستگاههای آلوده خارج کنن.
آنالیز دقیق فریمور استخراج شده از دستگاههای آلوده که روی اونا نرمافزار Cisco Secure Firewall ASA با سرویسهای وب VPN فعال، اجرا میشد، در نهایت منجر به کشف یک باگ خرابی حافظه در نرمافزار محصول شده.
هکرها دو آسیب پذیری زیرودی رو اکسپلویت کردن و از تکنیکهای پیشرفته ای مانند غیرفعالسازی لاگینگ، رهگیری دستورات CLI، و عمداً کرش دادن دستگاهها برای جلوگیری از تحلیلهای فارنزیکی و شناسایی استفاده کردن.
در این کمپین از دو آسیب پذیری زیر استفاده شده:
- آسیب پذیری CVE-2025-20362: امتیاز 6.5 و شدت متوسط داره و از نوع Missing Authorization هستش که امکان دسترسی مهاجم راه دور و بدون احرازهویت رو به برخی آدرس های نقاط پایانی میده.
- آسیب پذیری CVE-2025-20333: امتیاز 9.9 و شدت بحرانی داره و از نوع Classic Buffer Overflow هستش که امکان اجرای کد از راه دور رو به مهاجم احرازهویت شده میده.
هکرها با زنجیره کردن این دو آسیب پذیری، تونستن احرازهویت رو دور بزنن و روی دستگاه کد دلخواه اجرا کنن.
این کمپین به خوشه تهدیدی بنام ArcaneDoor نسبت داده شده که به گروه هک منتسب به چین با عنوان UAT4356 (یا Storm-1849) مرتبط دونستنش.
در برخی موارد بازیگر تهدید اقدام به تغییر ROMMON (Read-Only Memory Monitor)، که مسئول مدیریت فرایند بوت و اجرای تستهای تشخیصی در دستگاههای ASA هستش، کرده تا پرسیست رو در ریبوت و ارتقاء نرمافزاری فراهم کنه. این تغییرات تاکنون تنها در پلتفرمهای Cisco ASA 5500-X که فاقد تکنولوژیهای Secure Boot و Trust Anchor هستن، شناسایی شده.
سیسکو همچنین اعلام کرده که این کمپین با موفقیت مدلهای ASA 5500-X رو که از نسخه های Cisco ASA Software 9.12 یا 9.14 با سرویسیهای وب VPN فعال، استفاده میکردن و از Secure Boot و Trust Anchor پشتیبانی نمیکنن،رو آلوده کرده. تمامی دستگاههای تحت تأثیر یا قبلاً تاریخ پشتیبانی (EoS) اونا گذشته یا تا هفته ی آینده به وضعیت EoS خواهند رسید.
- 5512-X and 5515-X – آخرین زمان پشتیبانی: 31 آگوست 2022
- 5585-X – آخرین زمان پشتیبانی:31 مه 2023
- 5525-X, 5545-X, and 5555-X – آخرین زمان پشتیبانی: 30 سپتامبر 2025
در بیانیه ی NCSC مورخ ۲۵ سپتامبر اومده که هکرها از یک بوت کیت چند مرحلهای بنام RayInitiator برای استقرار یک لودر شلکد در فضای کاربری بنام LINE VIPER روی دستگاه ASA استفاده کردن.
- بدافزار RayInitiator: یک بوت کیت مبتنی بر GRUB هستش که روی دستگاه قربانی نوشته (فلش) میشه و میتونه در برابر ریبوت و ارتقاء فریمور مقاومت کنه و وظیفه اش لوود بدافزار LINE VIPER در حافظه هستش. GRUB مخفف GRand Unified Bootloader و در عمل یک بوت لودر هستش. وقتی دستگاه روشن میشه، GRUB تصمیم میگیره کدوم کرنل/سیستمعامل یا ورودی بوت اجرا بشه و پارامترهای لازم رو به کرنل منتقل میکنه.
- بدافزار LINE VIPER: میتونه دستورات CLI رو اجرا کنه، بسته ها رو ضبط کنه، احراز هویت، تعیین دسترسیها و ثبت عملیات کاربران/اتصالات (AAA) VPN رو دور بزنه، پیامهای syslog رو حذف یا دستکاری کنه، دستورات CLI کاربران رو ضبط کنه و کاری کنه که بعد از یه تایمی، دستگاه برای اعمال برخی تنظیمات یا پاک سازی ردپا، بصورت عمدی ریبوت بشه.
بوت کیت این کار رو با نصب یک هندلر در داخل یک باینری قانونی ASA با نام lina انجام میده تا LINE VIPER رو اجرا کنه. Lina مخفف Linux-based Integrated Network Architecture و نرمافزار سیستم عاملی هستش که قابلیتهای اصلی فایروال ASA رو ادغام میکنه.
بدافزار LINE VIPER، که نسبت به نمونه های قبلی کاملتر شده، از دو روش برای ارتباط با سرور C2 استفاده میکنه:
- از جلسات WebVPN که بصورت HTTPS هستن، برای ارسال و دریافت دستورات و دادهها استفاده میکنه.
- از کانال مبتنی بر ICMP بعنوان یک تونل ارتباطی برای رد و بدل کردن داده استفاده میکنه. پاسخها بصورت بسته های TCP خام (raw) منتقل میشن.
همچنین تغییراتی در lina ایجاد میکنه تا شواهد فازنریکی و ردپای تغییر در دستورات CLI مانند copy و verify رو مخفی کنه.
NCSC گفته: استقرار LINE VIPER از طریق یک بوت کیت، همراه با تمرکز بیشتر روی تکنیکهای فرار از شناسایی، نشون دهنده ی افزایش سطح پیچیدگی بازیگر تهدید و بهبود امنیت عملیاتی نسبت به کمپین ArcaneDoor مستند سازی شده در ۲۰۲۴ هستش.
سایر آسیب پذیریهای اصلاح شده سیسکو:
علاوه بر این موارد، سیسکو یک نقص بحرانی سوم با شناسه ی CVE-2025-20363 و با امتیاز 9.0 و از نوع Heap-based Buffer Overflow رو در سرویسهای وب Adaptive Security Appliance (ASA)، Secure Firewall Threat Defense (FTD)، IOS، IOS XE و IOS XR اصلاح کرده. مهاجم با ارسال درخواستهای HTTP مخرب میتونه کد دلخواه با امتیاز root اجرا کنه. بر خلاف دو CVE قبلی، شواهدی مبنی بر اکسپلویت فعال از CVE-2025-20363 وجود نداره.
دو روز پیش هم سیسکو 17 آسیب پذیری رو در محصولات مختلفش اصلاح کرده بود که 9 موردش شدت بالا داشتن. در بین این آسیب پذیری ها، آسیب پذیری با شناسه ی CVE-2025-20352، زیرودی بوده و در حملاتی مورد اکسپلویت قرار گرفته.
این آسیب پذیری از نوع Stack-based Buffer Overflow و در زیر سیستم SNMP (Simple Network Management Protocol) رخ میده. همه ی دستگاههایی که قابلیت SNMP روشون فعاله، تحت تاثیر هستن.
مهاجم راه دور با دسترسی محدود و احرازهویت شده، میتونه DOS کنه، اما اگه دسترسی سطح بالا داشته باشه، میتونه با امتیاز کاربر ROOT، کد دلخواه اجرا کنه. برای اکسپلویت هم، مهاجم باید بسته های مخرب SNMP رو از طریق شبکه های IPv4 یا IPv6 ارسال کنه.
به غیر از بروزرسانی، راه دیگه ای برای اصلاح وجود نداره، اما اگه فعلا نمیتونید بروزرسانی رو اعمال کنید، باید SNMP رو محدود کنید.
دو تا آسیب پذیری دیگه هم هستن که براشون POC منتشر شده:
- آسیب پذیری CVE-2025-20240: از نوع Reflected XSS در Cisco IOS XE که امکان سرقت کوکی ها رو به مهاجم بدون احرازهویت شده میده.
- آسیب پذیری CVE-2025-20149: که امکان ریبوت رو به مهاجم محلی و احرازهویت شده میده. مهاجم میتونه DoS کنه.
این بروزرسانیهای امنیتی چند هفته پس از اون ارائه شده که شرکت امنیت سایبری GreyNoise دو کمپین بزرگ رو در اواخر آگوست شناسایی کرده بود، با بیش از ۲۵,۰۰۰ آدرس IP منحصر به فرد که در حال هدف قرار دادن پرتالهای لاگین ASA و سرویسهای Telnet/SSH باز Cisco IOS بودن.
GreyNoise قبلاً گزارش داده بود که چنین فعالیتهای شناسایی (reconnaissance) در ۸۰٪ موارد پیش از افشای آسیب پذیریهای جدید در محصولات هدف اتفاق می افته.
منابع: