مرکز ملی امنیت سایبری بریتانیا (NCSC) اعلام کرده که بازیگران تهدید از آسیبپذیریهای بهتازگی افشا شده در فایروالهای Cisco ASA سوءاستفاده کرده و بهصورت روز-صفر (zero‑day) بدافزارهایی جدید و پیشرفته مانند RayInitiator و LINE VIPER را روی تجهیزات قربانی نصب میکنند.
«بدافزارهای RayInitiator و LINE VIPER نشاندهندهی جهشی در پیچیدگی و توانایی فرار از شناسایی نسبت به کمپینهای قبلی هستند.» — NCSC
حملات دولتیمحور و کشف رخدادها در فایروالهای Cisco ASA
شرکت Cisco در گزارشی اعلام کرد که از ماه مه ۲۰۲۵ تحقیقات روی حملاتی را آغاز کرده که چندین نهاد دولتی را هدف قرار دادهاند. هدف این حملات دستگاههای Adaptive Security Appliance (ASA) 5500‑X Series بودهاند تا بدافزار نصب، دستورات اجرایی و احتمالاً استخراج داده از دستگاههای آلوده صورت گیرد.
تحلیل عمیق فریمور (firmware) استخراجشده از دستگاههای آلوده که سرویسهای وب VPN روی آنها فعال بوده، منجر به یافتن یک باگ حافظه (memory corruption) در نرمافزار شده است. مهاجمین از چندین Zero-Day سوءاستفاده کرده و به تکنیکهای پیشرفتهٔ فرار از شناسایی نظیر غیرفعالسازی لاگها، رهگیری دستورات CLI و عمداً کرش دادنِ دستگاه برای جلوگیری از تحلیل تشخیصی متوسل شدهاند.
آسیبپذیریهای اکسپلویت شده
فعالیتها مبتنی بر سوءاستفاده از دو آسیبپذیری کلیدی گزارششده است:
CVE‑2025‑20362 — امتیاز CVSS: 6.5 (بهرهبرداری برای دور زدن احراز هویت)
CVE‑2025‑20333 — امتیاز CVSS: 9.9 (اجرای کد مخرب روی دستگاه آسیبپذیر)
تحقیقات NCSC این کمپین را به خوشه تهدیدی با نام ArcaneDoor نسبت دادهاند که به گروهی با احتمال ارتباط به چین با شناسههای UAT4356 یا Storm‑1849 نسبت داده شده است.
تغییر در ROMMON و ماندگاریِ سطح پایین‑سیستم
در برخی نمونهها، عامل تهدید اقدام به تغییر ROMMON (Read‑Only Memory Monitor) کرده — کامپوننتی که فرآیند بوت و تستهای تشخیصی را در دستگاههای ASA مدیریت میکند — تا persistence (ماندگاری) را حتی پس از ریبوت و بهروزرسانی نرمافزار حفظ کند. این دستکاریها عمدتاً روی مدلهای ASA 5500‑X که فاقد فناوریهای Secure Boot و Trust Anchor هستند مشاهده شده است.
دستگاههای تحت تاثیر و وضعیت پشتیبانی (EoS) برای فایروالهای Cisco ASA
Cisco اعلام کرده که مدلهای ASA 5500‑X با Web VPN services فعال و بدون پشتیبانی از Secure Boot/Trust Anchor، بهویژه در معرض خطر قرار دارند. بسیاری از این مدلها دورهٔ پشتیبانیشان به پایان رسیده یا در آستانهٔ پایان پشتیبانی هستند؛ از جمله:
5512‑X و 5515‑X — پایان پشتیبانی: 31 آگوست 2022
5585‑X — پایان پشتیبانی: 31 مه 2023
5525‑X, 5545‑X, 5555‑X — پایان پشتیبانی: 30 سپتامبر 2025
این وضعیت EoS ریسک را افزایش میدهد زیرا دستگاههای قدیمی غالباً آپدیتهای حیاتی و مکانیزمهای حفاظتی سختافزاری را ندارند.
بدافزارهای RayInitiator و LINE VIPER چه کاری انجام میدهند؟
NCSC توضیح میدهد که حملات از یک بوتکیت چندمرحلهای موسوم به RayInitiator برای فلش شدن روی دستگاه قربانی استفاده کردهاند تا LINE VIPER (لودر شلکد در فضای کاربر) را بارگذاری کنند.
RayInitiator (bootkit)
یک bootkit پیوستشده به GRUB (GRand Unified Bootloader) است که روی دستگاه فلش میشود.
قابلیتهای اصلی: پایداری (survive) در برابر ریبوتها و بهروزرسانیهای فریمور؛ بارگذاری LINE VIPER در حافظه در زمان بوت.
LINE VIPER (user‑mode shellcode loader)
یک لودر شلکد در فضای کاربر که از طریق RayInitiator در حافظه جای میگیرد.
قابلیتها و امکانات:
اجرای دستورات CLI
ضبط بستههای شبکه (packet capture)
دورزدن فرایندهای احراز هویت و AAA در VPN برای دستگاههای مهاجم
بلاک کردن پیامهای syslog و جلوگیری از ثبت رخدادها
جمعآوری دستورات واردشده در CLI توسط کاربران
اعمال ریبوت با تاخیر برای جلوگیری از تحلیل فوری
برای اجرای LINE VIPER، بوتکیت یک handler را در یک باینری مشروع ASA بهنام lina نصب میکند تا بتواند LINE VIPER را اجرا نماید. (Lina — مخفف Linux‑based Integrated Network Architecture — سیستمعامل داخلی است که عملکردهای اصلی فایروال ASA را فراهم میکند.)
روشهای ارتباط و فرار از شناسایی LINE VIPER
LINE VIPER «جامعتر» از نمونههای قبلی (مثل Line Dancer) است و از دو روش برای برقراری ارتباط با سرور فرمانوکنترل (C2) استفاده میکند:
نشست احراز هویت WebVPN کلاینت که روی HTTPS انجام میشود
کانالهای ICMP با پاسخها روی TCP خام (raw TCP)
همچنین LINE VIPER تغییرات متعددی در باینری lina ایجاد میکند تا ردپای فورنزیکی بهجا نگذارد و شناساییِ تغییرات در دستورات CLI مانند copy و verify را دشوار سازد.
پیشرفت در سطح تاکتیکی و عملیاتی
NCSC میگوید:
«استقرار LINE VIPER از طریق یک bootkit پایدار، همراه با تأکید بیشتر روی تکنیکهای فرار از شناسایی، نشانگر افزایش توانمندی بازیگران تهدید و بهبود امنیت عملیاتی نسبت به کمپین ArcaneDoor که در ۲۰۲۴ مستند شد، است.»
کمبود شواهد برای برخی CVEها و یک نقص جدید رفعشده
علاوه بر CVE‑2025‑20362 و CVE‑2025‑20333 که شواهد اکسپلویتی دیگر وجود دارد، سیسکو یک نقص بحرانی سوم را نیز اصلاح کرده است:
CVE‑2025‑20363 — امتیاز CVSS: ~8.5–9.0
این نقص بر سرویسهای وب Adaptive Security Appliance (ASA)، Secure Firewall Threat Defense (FTD)، و نسخههای IOS/IOS‑XE/IOS‑XR تاثیر میگذارد و میتواند به مهاجم از راه دور اجازهٔ اجرای کد با سطح root را بدهد.
بر خلاف دو CVE دیگر، تاکنون شواهدی مبنی بر سوءاستفادهٔ فعال از CVE‑2025‑20363 در فضای واقعی وجود ندارد. این نقص توسط گروه Cisco Advanced Security Initiatives Group (ASIG) هنگام حل یک مورد پشتیبانی TAC کشف شده و پچ منتشر شده است.
توصیهها و اقدامات اضطراری برای سازمانها
فوراً به آخرین نسخهٔ اصلاحشدهٔ نرمافزار Cisco ASA / FTD بهروزرسانی کنید.
اگر از مدلهای ASA 5500‑X که EoS شده یا در آستانهٔ EoS قرار دارند استفاده میکنید، برنامهٔ جایگزینی/ارتقا را در اولویت قرار دهید.
دستگاههایی که WebVPN فعال دارند و Secure Boot/Trust Anchor را پشتیبانی نمیکنند باید بهعنوان تجهیزات باریسک در نظر گرفته شوند.
شبکه و دستگاهها را برای نشانههای bootkit (فلش فریمور)، تغییرات در ROMMON و رفتارهای غیرعادی CLI یا syslog بررسی کنید.
از تکنیکهای تشخیص پیشرفته مانند بررسی یکپارچگی باینریها، مانیتورینگ ارتباطات WebVPN و بررسی رفتار ICMP/TCP غیرمعمول استفاده کنید.
در صورتی که مشکوک به نفوذ هستید، همکاری با تیمهای فورنزیک و پاسخ به حادثه را سریعا آغاز کنید.
نتیجهگیری
فعالیتهای اخیر نشان میدهد که عاملان تهدید در سطح جهانی و با تکنیکهای پیشرفته در حال هدفگیری زیرساختهای حیاتی شبکهای هستند. ترکیبِ بوتکیت پایدار (RayInitiator) و لودرهای حافظهمحور (LINE VIPER) یک الگوی جدید و خطرناک از ماندگاری و فرار از تشخیص را روی فایروالهای ASA ایجاد کرده که برای مدیران امنیت شبکه یک «زنگ خطر» محسوب میشود.
