İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), tehdit aktörlerinin, daha önce belgelenmemiş kötü amaçlı aileler gibi sıfır gün saldırılarının bir parçası olarak Cisco güvenlik duvarlarını etkileyen yakın zamanda açıklanan güvenlik kusurlarını kullandığını açıkladı. Rayinitiator Ve Line viper.
Ajans, “Rayinitiator ve Line Viper kötü amaçlı yazılımları, hem sofistike hem de tespitten kaçınma yeteneğinde, önceki kampanyada kullanılan önemli bir evrimi temsil ediyor.” Dedi.
Perşembe günü Cisco, Mayıs 2025’te devlet destekli kampanyaya bağlı birden fazla devlet kurumuna yapılan saldırıları araştırmaya başladığını açıkladı.
VPN Web Hizmetleri ile Cisco Güvenli Güvenli Güvenlik Duvarı ASA yazılımını çalıştıran enfekte cihazlardan çıkarılan ürün yazılımı, sonuçta ürün yazılımında bir bellek yolsuzluk hatasının keşfedilmesine yol açtı.
Şirket, “Saldırganların birden fazla sıfır günlük güvenlik açıklarından yararlandıkları ve günlük kaydı, CLI komutlarını engelleme ve teşhis analizini önlemek için kasıtlı olarak çökme gibi ileri kaçış tekniklerini kullandıkları gözlendi.” Dedi.
Etkinlik, duyarlı cihazlarda kimlik doğrulamasını atlamak ve kötü niyetli kodları yürütmek için CVE-2025-20362 (CVSS skoru: 6.5) ve CVE-2025-20333’ün (CVSS skoru: 9.9) sömürülmesini içerir. Kampanyanın, UAT4356 (AKA Storm-1849) olarak bilinen şüpheli bir Çin bağlantılı hack grubuna atfedilen Arcanedoor olarak adlandırılan bir tehdit kümesiyle bağlantılı olduğu değerlendirildi.
Ek olarak, bazı durumlarda, tehdit oyuncusunun, yeniden başlatmalar ve yazılım yükseltmeleri arasında kalıcılığı kolaylaştırmak için önyükleme işlemini yönetmek ve ASA cihazlarında teşhis testleri yapmaktan sorumlu olan Rommon’u (salt okunur bellek monitörü kısa) değiştirdiği söylenir. Bununla birlikte, bu değişiklikler sadece güvenli önyükleme ve güven çapa teknolojilerinden yoksun olan Cisco ASA 5500-X serisi platformlarında tespit edilmiştir.
Cisco ayrıca, kampanyanın Cisco ASA yazılımını çalıştıran ASA 5500-X serisi modellerini başarıyla tehlikeye attığını ve VPN Web hizmetleri etkinken 9.12 veya 9.14 yayınladığını ve güvenli önyükleme ve güven çapa teknolojilerini desteklemediğini söyledi. Etkilenen tüm cihazlar destek Sonu’na (EOS) ulaştı veya gelecek haftaya kadar EOS durumuna ulaşmak üzeredir-
- 5512-X ve 5515-X-Son Destek Tarihi: 31 Ağustos 2022
- 5585-X-Son Destek Tarihi: 31 Mayıs 2023
- 5525-X, 5545-X ve 5555-X-Son Destek Tarihi: 30 Eylül 2025
Ayrıca şirket, uyarlanabilir güvenlik cihazı (ASA) yazılımının web hizmetlerinde üçüncü bir kritik kusuru (CVE-2025-20363, CVSS puanı: 8.5/9.0), IOS yazılımı, iOS xe yazılımı ve iOS XR yazılımlarının, bir uzak saldırgan tıbbi koduna izin verebileceğini belirtti.
“Bir saldırgan, sistem hakkında ek bilgi aldıktan, istismar hafifletmelerinin üstesinden geldikten veya her ikisinin de her ikisini birden etkilenen bir cihazda hedeflenen bir web hizmetine hazırlanmış HTTP istekleri göndererek bu güvenlik açığını kullanabilir.” Dedi. “Başarılı bir istismar, saldırganın rasgele kod olarak kök olarak yürütmesine izin verebilir, bu da etkilenen cihazın tamamen uzlaşmasına yol açabilir.”
CVE-2025-20362 ve CVE-2025-20333’ün aksine, güvenlik açığının vahşi doğada kötü niyetli bir bağlamda kullanıldığına dair bir kanıt yoktur. Cisco, eksikliğin Cisco TAC destek davasının çözümü sırasında Cisco Advanced Güvenlik Girişimleri Grubu (ASIG) tarafından keşfedildiğini söyledi.
Kanada Siber Güvenlik Merkezi, ülkedeki kuruluşları, Cisco ASA ve FTD ürünlerinin sabit bir versiyonuna güncelleyerek tehdide karşı koymaya mümkün olan en kısa sürede harekete geçmeye çağırdı.
İngiltere NCSC, 25 Eylül’de yayınlanan bir danışmanlıkta, saldırıların ASA cihazına Line Viper olarak bilinen bir kullanıcı modu kabuk kodu yükleyicisini dağıtmak için Rayinitiator adlı çok aşamalı bir bootkit kullandığını açıkladı.
Rayinitiator, kurban cihazlarına yanıp sönen, yeniden başlatmalardan ve ürün yazılımı yükseltmelerinden kurtulabilen kalıcı bir Grand Unified Bootloader (GRUB) bootkittir. CLI komutlarını çalıştırabilen, paket yakalamaları gerçekleştirebilen, VPN kimlik doğrulamasını atlayabilen, aktör aygıtları için yetkilendirme ve muhasebe (AAA) ‘yı, syslog mesajlarını bastırabilen, Syslog mesajlarını bastırabilen ve gecikmiş bir yeniden başlatmayı zorlayabilen bellek hattı engerekine yüklenmesinden sorumludur.
Bootkit, hat Viper’ı yürütmek için “Lina” adlı meşru bir ASA ikili içine bir işleyici kurarak bunu gerçekleştirir. Linux tabanlı entegre ağ mimarisinin kısaltması Lina, ASA’nın temel güvenlik duvarı işlevlerini entegre eden işletim sistemi yazılımıdır.
Line dansçısından “daha kapsamlı” olarak tanımlanan Line Viper, komut ve kontrol (C2) sunucusu ile iletişim için iki yöntem kullanır: WebVPN istemci kimlik doğrulama oturumları HTTPS üzerinden veya ICMP aracılığıyla RAW TCP üzerindeki yanıtlarla ICMP. Ayrıca, adli bir iz bırakmaktan kaçınmak ve kopya ve doğrulama gibi CLI komutlarında değişikliklerin tespit edilmesini önlemek için “Lina” için bir dizi değişiklik yapmak için tasarlanmıştır.
NCSC, “Kalıcı bir bootkit aracılığıyla çizgi engerek konuşlandırılması, savunma kaçakçılığı tekniklerine daha fazla vurgu yaparak, 2024’te halka açık bir şekilde belgelenen Arcanedoor kampanyasına kıyasla aktör sofistike ve operasyonel güvenlikte iyileşme artışı gösteriyor.” Dedi.