O cenário de cibersegurança global está em alerta após a descoberta de vulnerabilidades de dia zero nos firewalls Cisco Adaptive Security Appliance (ASA), exploradas para instalar novas famílias de malware: RayInitiator e LINE VIPER. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) classificou os ataques como sofisticados, visando órgãos governamentais e dispositivos críticos.
A investigação da Cisco revelou que os dispositivos ASA série 5500-X foram comprometidos em uma campanha iniciada em maio de 2025. As falhas CVE-2025-20362 e CVE-2025-20333 permitiram que invasores executassem código malicioso, contornassem autenticação e potencialmente exfiltrassem dados sensíveis. O grupo responsável, ArcaneDoor (também conhecido como UAT4356 ou Storm-1849), suspeito de ligações com a China, demonstrou alto nível de sofisticação, incluindo evasão de logs, interceptação de comandos CLI e travamento proposital de dispositivos.
Em casos graves, os hackers modificaram o ROMMON (Read-Only Memory Monitor) dos firewalls, garantindo persistência mesmo após reinicializações ou atualizações de software. A campanha utilizou um bootkit multiestágio chamado RayInitiator para carregar o malware LINE VIPER na memória do dispositivo.
O RayInitiator funciona como um bootkit persistente, capaz de sobreviver a reinicializações e atualizações, enquanto o LINE VIPER executa comandos CLI, captura pacotes, ignora autenticação VPN, suprime logs do sistema e coleta comandos digitados pelo usuário. Além disso, o malware modifica o binário legítimo “lina” do ASA, dificultando a detecção forense.
O NCSC alertou que a combinação de bootkit persistente e técnicas avançadas de evasão demonstra um aumento na sofisticação dos ataques, tornando os dispositivos ASA vulneráveis em ambientes críticos. A Cisco confirmou que os modelos ASA 5500-X com versões 9.12 ou 9.14 e serviços web VPN habilitados estão em risco, especialmente por operarem com hardware próximo do Fim do Suporte (EoS).
Além disso, uma terceira vulnerabilidade crítica (CVE-2025-20363) foi corrigida, que poderia permitir execução remota de código com privilégios de root. Apesar de não haver evidência de exploração em ataques reais, a falha representa um risco elevado para dispositivos não atualizados.
O Centro Canadense de Segurança Cibernética e o NCSC do Reino Unido reforçam a necessidade urgente de atualização dos firewalls Cisco ASA e FTD, recomendando que organizações implementem as versões corrigidas para mitigar a ameaça.
