NCSC alerta para bootkit e loader inéditos em firewalls Cisco

há 2 semanas 15

A Agência Nacional de Segurança Cibernética do Reino Unido (NCSC) publicou um alerta detalhando que exploradores vêm aproveitando falhas em firewalls Cisco ASA para instalar malwares inéditos chamados RayInitiator e LINE VIPER em campanhas zero-day. As ações, ligadas ao conjunto de atividades apelidado ArcaneDoor e atribuídas ao cluster UAT4356, têm como alvo dispositivos ASA 5500-X com serviços VPN web habilitados e sem suporte a Secure Boot e Trust Anchor.

A campanha explora ao menos duas falhas já identificadas: CVE-2025-20333, com pontuação 9.9, e CVE-2025-20362, com pontuação 6.5, além de uma terceira falha tratada por Cisco como CVE-2025-20363 (gravidade alta). Em alguns casos os invasores chegaram a modificar ROMMON para garantir persistência através de reinícios e atualizações de firmware, e adotaram técnicas de evasão como desativar logs, interceptar comandos CLI e provocar travamentos para atrapalhar a análise forense.

O malware RayInitiator atua como um bootkit persistente do tipo GRUB que carrega em memória o loader user-mode LINE VIPER. Este último consegue executar comandos CLI, capturar pacotes, contornar autenticação VPN AAA, suprimir mensagens de syslog, recolher comandos digitados por administradores e realizar comunicação com servidores de comando e controle via sessões WebVPN autenticadas ou por ICMP com respostas sobre TCP bruto. Modelos afetados incluem plataformas ASA 5500-X que já alcançaram ou estão próximas do fim de suporte, como as séries 5512-X, 5515-X, 5585-X e 5525/5545/5555-X.

A recomendação imediata é atualizar firmware e aplicar os patches fornecidos pela Cisco, desconectar dispositivos EoS ou sem mitigação possível, e seguir orientações das agências nacionais de segurança para coleta de evidências e contenção. Organizações devem priorizar a revisão de dispositivos ASA/FTD, verificar integridade do ROMMON e inspecionar sinais de bootkit ou loaders em memória.

Ler artigo completo