Vulnerabilidad Zero-Day en Firewalls Cisco ASA: Malware RayInitiator y LINE VIPER en Ataque -

Vulnerabilidad Zero-Day en Firewalls Cisco ASA: Malware RayInitiator y LINE VIPER en Ataque

El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha revelado la explotación de fallas de seguridad recientemente divulgadas en firewalls Cisco como parte de ataques zero-day. Estos ataques despliegan familias de malware previamente no documentadas, incluyendo RayInitiator y LINE VIPER.

Cisco inició una investigación en mayo de 2025 sobre ataques a agencias gubernamentales dirigidos a dispositivos Adaptive Security Appliance (ASA) 5500-X Series. El objetivo era implantar malware, ejecutar comandos y potencialmente exfiltrar datos. El análisis reveló un fallo de corrupción de memoria en el software Cisco Secure Firewall ASA con servicios web VPN habilitados.

Los atacantes explotaron múltiples vulnerabilidades zero-day, empleando técnicas avanzadas de evasión como deshabilitar el registro, interceptar comandos CLI e incluso provocar fallos en los dispositivos para impedir el análisis diagnóstico.

Las vulnerabilidades explotadas son CVE-2025-20362 (CVSS 6.5) y CVE-2025-20333 (CVSS 9.9), permitiendo la omisión de autenticación y la ejecución de código malicioso. Se asocia la campaña al grupo ArcaneDoor, vinculado a un grupo de hackers chino conocido como UAT4356 (aka Storm-1849).

En algunos casos, se ha modificado el ROMMON (Read-Only Memory Monitor) para asegurar la persistencia del malware tras reinicios y actualizaciones. Estas modificaciones se detectaron en plataformas Cisco ASA 5500-X Series sin Secure Boot ni Trust Anchor.

Los modelos ASA 5500-X Series afectados ejecutan versiones 9.12 o 9.14 de Cisco ASA Software con servicios web VPN habilitados y no compatibles con Secure Boot ni Trust Anchor. Todos los dispositivos comprometidos han alcanzado o están próximos a alcanzar el fin de soporte (EoS).

Cisco también ha abordado una tercera vulnerabilidad crítica (CVE-2025-20363, CVSS 8.5/9.0) en los servicios web de Adaptive Security Appliance (ASA) Software, Secure Firewall Threat Defense (FTD) Software, IOS Software, IOS XE Software e IOS XR Software. Esta falla permitiría la ejecución remota de código arbitrario con privilegios de root, comprometiendo completamente el dispositivo.

RayInitiator es un bootkit GRUB persistente que se instala en los dispositivos. Este carga en memoria LINE VIPER, capaz de ejecutar comandos CLI, realizar capturas de paquetes, eludir la autenticación VPN (AAA), suprimir mensajes syslog, recopilar comandos CLI del usuario y forzar un reinicio retardado. LINE VIPER utiliza WebVPN sobre HTTPS o ICMP para comunicarse con el servidor C2 y realiza modificaciones en “lina” para evitar la detección.

El NCSC destaca que el despliegue de LINE VIPER mediante un bootkit persistente, junto con técnicas de evasión avanzadas, demuestra una mayor sofisticación y seguridad operativa en comparación con campañas anteriores como ArcaneDoor.

En INGENIERÍA TELEMÁTICA SAS, comprendemos la importancia de proteger su infraestructura contra amenazas avanzadas. Si su empresa utiliza firewalls Cisco ASA, le recomendamos encarecidamente que revise las alertas de seguridad de Cisco y aplique las actualizaciones necesarias. Contáctenos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente para evaluar su postura de seguridad y ayudarle a implementar las mejores soluciones de protección.

Fuente original: Ver aquí

Comparte esta Noticia:

Noticias Relacionadas

Vulnerabilidad crítica en Post SMTP de WordPress permite secuestro de cuentas de administrador

Una vulnerabilidad crítica ha sido descubierta en el popular plugin Post SMTP de WordPress, utilizado en más de 400,000 sitios web. La vulnerabilidad, identificada como CVE-2025-11833 y con una severidad de 9.8, permite a atacantes no autenticados obtener acceso a emails registrados, incluyendo aquellos con enlaces de restablecimiento de contraseñas.

Google Alerta sobre Nuevas Familias de Malware Impulsadas por IA

El Grupo de Inteligencia de Amenazas de Google (GTIG) ha detectado un aumento en el uso de la inteligencia artificial por parte de actores maliciosos para desarrollar nuevas familias de malware. Esta nueva generación de malware integra modelos de lenguaje grandes (LLM) durante su ejecución, permitiendo una modificación dinámica que

SonicWall confirma ataque por hackers patrocinados por un estado en brecha de seguridad de septiembre

SonicWall ha concluido la investigación sobre la brecha de seguridad ocurrida en septiembre, confirmando que fue perpetrada por hackers patrocinados por un estado. El incidente, que comprometió archivos de configuración de firewall almacenados en la nube, fue investigado por Mandiant, quienes determinaron que no hubo impacto en los productos, firmware,

Nuevo Troyano Android ‘Herodotus’ Burla Sistemas Antifraude Imitando la Escritura Humana

Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado ‘Herodotus’. Este malware ha sido detectado en campañas activas dirigidas a Italia y Brasil, diseñado para tomar el control de dispositivos (DTO) y evadir la detección biométrica imitando el comportamiento humano. ThreatFabric informó que ‘Herodotus’ fue

CISA Alerta sobre Explotación Activa de Vulnerabilidades Críticas en Dassault DELMIA Apriso y XWiki

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha emitido alertas sobre la explotación activa de múltiples vulnerabilidades de seguridad que afectan a Dassault Systèmes DELMIA Apriso y XWiki. Las vulnerabilidades identificadas son: * CVE-2025-6204 (Puntuación CVSS: 8.0): Vulnerabilidad de inyección de código en Dassault Systèmes DELMIA Apriso

Bandas de Ransomware Rusas Arman AdaptixC2 Open-Source para Ataques Avanzados

Un número creciente de actores de amenazas, algunos vinculados a bandas de ransomware rusas, están utilizando el framework de comando y control (C2) open-source AdaptixC2. AdaptixC2 es un framework emergente y extensible de post-explotación y emulación adversarial diseñado para pruebas de penetración. El componente del servidor está escrito en Golang,

Únete a nuestras Noticias

El panorama de amenazas cambia cada día. ¿Está su empresa al tanto de las últimas vulnerabilidades? Suscríbase a nuestro Boletín de Inteligencia Semanal y reciba en su correo un resumen curado por nuestros ingenieros expertos.

Reciba alertas priorizadas sobre las vulnerabilidades que le afectan.
Entienda las nuevas tácticas y tendencias del cibercrimen.
Gratuito, sin spam y con la confianza de Ingeniería Telemática.