Cisco ASA防火牆遭零日攻擊：駭客部署 RayInitiator 與LINE VIPER惡意軟體

英國國家網路安全中心（NCSC）日前公布威脅行為者已成功利用Cisco(思科) 防火牆的零日安全漏洞，部署了兩個前所未見的惡意軟體家族：RayInitiator和 LINE VIPER。該機構表示，這些惡意軟體在技術複雜度和規避偵測能力方面，均較先前發現的攻擊工具有顯著提升。

攻擊時間軸與規模

思科表示，他們從今年5月開始調查一系列針對多個政府機構的攻擊活動。這些攻擊鎖定Adaptive Security Appliance (ASA) 5500-X系列設備，攻擊者透過植入惡意軟體的方式，在受害設備上執行命令並可能竊取敏感資料。

經過對受感染設備韌體的深度分析，Cisco技術團隊最終確認產品軟體中存在記憶體損壞漏洞。更令人擔憂的是，攻擊者展現了高超的技術能力，不僅利用多個零日漏洞，還採用了進階的規避技術，包括關閉系統記錄功能、攔截CLI命令，甚至故意讓設備當機以阻止安全分析。

三個關鍵漏洞成攻擊跳板

這次攻擊行動涉及三個嚴重的安全漏洞。首先是CVE-2025-20333，這是一個CVSS評分高達9.9的極嚴重漏洞，允許已通過身份驗證的遠端攻擊者在易受攻擊的ASA和FTD設備上執行任意程式碼。

第二個漏洞CVE-2025-20362的CVSS評分為6.5，雖然嚴重程度相對較低，但它允許遠端攻擊者在未經身份驗證的情況下存取受限制的URL端點。當這兩個漏洞被串聯利用時，攻擊者就能獲得設備的完整控制權。

思科還修補了第三個關鍵漏洞CVE-2025-20363，CVSS評分介於8.5至9.0之間。這個漏洞影響範圍更廣，涵蓋ASA Software、FTD Software、IOS Software、IOS XE Software及IOS XR Software的網路服務，可能允許遠端攻擊者執行任意程式碼。不過目前尚無證據顯示此漏洞已被惡意利用。

老舊設備成為主要攻擊目標

攻擊者特別鎖定運行Cisco ASA Software 9.12或9.14版本的ASA 5500-X系列設備。這些設備必須啟用VPN網路服務，且不支援Secure Boot和Trust Anchor安全技術，才會成為攻擊目標。

受影響的設備型號包括5512-X、5515-X、5525-X、5545-X、5555-X和5585-X。這些設備大多已達到或即將達到廠商支援終止狀態。其中5512-X和5515-X已於2022年8月31日停止支援，5585-X於2023年5月31日停止支援，而5525-X、5545-X和5555-X將於2025年9月30日停止支援。

惡意軟體解析

攻擊者部署的RayInitiator是一個持久性的GRand Unified Bootloader（GRUB）bootkit，具備在設備重啟和韌體升級後仍能存活的能力。這個bootkit會直接刷寫至受害設備中，並透過在合法的ASA二進制檔案「lina」中安裝處理程序的方式來載入LINE VIPER惡意軟體。

LINE VIPER是一個使用者模式的shellcode載入器，功能相當全面。它能夠執行CLI命令、進行封包擷取、繞過VPN的認證授權機制、抑制系統日誌訊息、收集使用者的CLI命令，並執行延遲重啟等操作。

在與指揮控制伺服器的通訊方面，LINE VIPER採用雙重管道策略：一是透過HTTPS的WebVPN客戶端認證會話，二是透過ICMP發送請求並透過原始TCP接收回應。此外，該惡意軟體還會對「lina」系統進行多項修改，以避免留下鑑識痕跡並防止CLI命令修改被偵測到。

攻擊組織身分曝光

安全專家將這次攻擊活動歸因於名為ArcaneDoor的威脅組織，ArcaneDoor被認為與中國相關的駭客組織UAT4356（微軟稱為Storm-1849）有關聯。英國NCSC指出，相較於2024年公開記錄的ArcaneDoor活動，這次攻擊展現出更高的技術複雜度，特別是在防禦規避技術和作業安全性方面都有顯著改善。

部分攻擊案例中，威脅行為者甚至修改了ROMMON（唯讀記憶體監控器）。ROMMON負責管理ASA設備開機程序和執行診斷測試的重要元件。透過修改ROMMON，攻擊者能夠確保惡意軟體在設備重啟和軟體升級後仍能持續存在。

IOS系統也遭零日攻擊

除了ASA防火牆的攻擊事件外，Cisco還揭露另一個正在被積極利用的零日漏洞CVE-2025-20352。這個漏洞影響Cisco IOS Software和IOS XE Software的SNMP子系統，CVSS評分為7.7。

攻擊者可透過向受影響設備發送精心製作的SNMP封包來觸發這個漏洞。低權限攻擊者可利用此漏洞造成拒絕服務攻擊，而高權限攻擊者則能以root權限執行任意程式碼，完全掌控目標系統。

Cisco表示，他們是在本地管理員帳號被入侵後，才發現這個漏洞正被惡意利用。該漏洞影響所有版本的SNMP，以及運行Meraki CS 17或更早版本的Meraki MS390和Cisco Catalyst 9300系列交換器。

各國政府緊急應變

面對這波大規模的零日攻擊，各國網路安全機構紛紛發布緊急應變措施。美國網路安全暨基礎設施安全局（CISA）發布第25-03號緊急指令，要求聯邦機構必須在9月26日前完成設備清查、中斷受損設備連線，並更新所有未出現惡意活動跡象的設備。

CISA警告，這次攻擊活動範圍廣泛，攻擊者利用零日漏洞獲得未經身份驗證的遠端程式碼執行能力，甚至操作唯讀記憶體以確保在重啟和系統升級後仍能維持存取權限。該機構評估這種攻擊手法對受害網路構成重大風險。

加拿大網路安全中心同樣敦促該國組織立即採取行動，透過更新至Cisco ASA和FTD產品的修復版本來對抗威脅。

資安專家指出，Cisco設備在企業網路中的普及性使得這次攻擊具有特別重大的意義。Qualys威脅研究部門經理表示，當舊有程式碼、大規模部署、反覆出現的子系統漏洞、擴大的網路攻擊面，以及嵌入式系統挑戰結合在一起時，就形成了完美的駭侵風暴。

Sectigo資深研究員指出，Cisco漏洞特別吸引攻擊者，因為這些設備非常普遍，且位於網路關鍵節點，且在多個平台間共享程式碼。單一管理平面的缺陷就能影響整個設備群組。

面對這些威脅，資安專家建議組織應立即清查網路中的所有Cisco設備，將受影響設備更新至最新安全版本，並考慮將已達支援終止狀態的設備替換為支援進階安全技術的新型號。同時，應加強網路監控機制，特別注意異常的設備行為和網路流量模式。