网络安全部门在发现一场针对思科自适应安全设备(ASA)防火墙的复杂间谍活动后,正敦促各机构立即采取行动。
在一项重大更新中,思科(Cisco)与英国国家网络安全中心(NCSC)透露,一个国家支持的威胁行为体正在利用思科ASA 5500-X系列设备中的零日漏洞(CVE-2025-20333)部署高级恶意软件、执行命令并窃取敏感数据。
英国国家网络安全中心(NCSC)发布了一份关于相关恶意软件的详细分析,该工具集包含一个名为RayInitiator的引导程序和一个名为LINE VIPER的内存驻留有效载荷。
与以往的攻击相比,这次行动在策略上是一次“重大演变”,体现了该行为者深厚的专业知识和改进的操作安全性。
一种复杂且持续的威胁
攻击始于RayInitiator的部署,这是一种具有高度持久性的多阶段引导工具包,会将自身刷写到设备的统一引导加载程序(GRUB)中。
这使得恶意软件能够在系统重启甚至固件升级后存活下来,从而在受感染的防火墙上建立永久据点。
RayInitiator专门针对缺乏安全启动技术的思科ASA型号,其中许多型号已接近使用寿命终点。它的主要功能是为主有效载荷开辟一条路径。
一旦实现持久化,攻击者就会部署LINE VIPER——这是一种多功能的shellcode加载器,可直接在设备内存中执行。LINE VIPER使威胁行为者能够对受感染系统进行广泛控制,其功能包括:
- 命令执行: 以最高权限级别(15级)运行任意命令。ncsc-mar-rayinitiator-line-viper.pdf
- 数据泄露:对敏感网络流量(如RADIUS、LDAP和TACACS认证协议)进行秘密数据包捕获,以获取凭证。
- 防御规避: 抑制特定的系统日志消息,以向管理员隐藏恶意活动,并采用反取证技术,若有人尝试进行内存转储或某些分析命令,该技术可使设备重启。
- 访问绕过:维护一个由攻击者控制的设备列表,以绕过认证、授权和计费(AAA)检查。
该恶意软件的命令与控制(C2)通信经过高度加密,难以检测。其主要方法是利用HTTPS WebVPN客户端身份验证会话,并通过特定于受害者的令牌和RSA密钥来保障连接安全。
一个备用的C2通道利用在VPN会话中隧道传输的ICMP请求,将窃取的数据通过原始TCP数据包发回。
缓解措施
思科和英国国家网络安全中心都在敦促网络防御者立即应对这一威胁。
在一份安全公告中,思科提供了修复指南,并发布了补丁以解决这些漏洞。强烈建议各组织立即应用这些安全更新。
英国国家网络安全中心呼吁使用受影响产品的管理员,利用其恶意软件分析报告中提供的YARA规则和检测指南,紧急调查是否存在入侵迹象。
LINE VIPER感染的一个关键指标是,当管理员试图生成用于法医分析的核心转储时,设备会立即重启。
英国国家网络安全中心(NCSC)强调的一个关键问题是过时硬件的使用。许多成为攻击目标的思科ASA 5500-X系列型号将在2025年9月和2026年8月停止支持。
英国国家网络安全中心强烈建议各组织更换或升级这些已到使用寿命的设备,因为它们存在重大且固有的安全风险。任何疑似的安全漏洞都应向英国国家网络安全中心或相应的国家网络安全机构报告。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
