U.K. NCSC и Cisco подтвердили, что старые добрые ASA 5500‑X, у которых закончилась поддержка, стали чужими домами: злоумышленники прошили в устройства persistent‑буткит RayInitiator и запустили пользовательский загрузчик LINE VIPER. Короче — кто‑то тщательно подготовился и сделал из фаервола живую бомбу, которая переживёт перезагрузки и обновления, как ненужный системный демоновский питомец.
Атаки эксплуатируют несколько дыр (включая CVE‑2025‑20362 и CVE‑2025‑20333) для обхода аутентификации и запуска кода. В некоторых инцидентах ребята так «умно» закодировали persistence, что прошивку и ROMMON модифицировали — не каждому по плечу, но этим парням — пожалуйста. Модели без Secure Boot/Trust Anchor — ваш идеальный эксплойт‑фургон; спасибо, что поставили табличку «уязвимо».
RayInitiator — это буткит уровня загрузчика, который прошивается в устройство и грузит LINE VIPER в память. LINE VIPER встраивается в легитимный бинарник «lina» и получает универсальный набор подростковых хаков: запуск CLI‑команд, перехват введённых команд, пакетные снимки, обход AAA, подавление syslog и принудительный отложенный ребут. Связь с C2 через WebVPN‑сессии по HTTPS или хитрый ICMP+raw TCP — для разнообразия, чтобы детективы потели в логах. В довесок — намеренные краши и отключение логирования, чтобы следы стереть. Красота.
Атрибуция указывает на ArcaneDoor / UAT4356 (Storm‑1849) — явно не скрипт‑кидди, а подготовленная операция с прицелом на госструктуры. Цель не просто порыть файлы — цель закрепиться и тихо пожить внутри сети.
Что делать, если вы не хотите иметь в своём шкафу такого «жильца»: проверьте инвентарь ASA/FTD устройств (особенно EoS‑модели), срочно ставьте патчи и апдейты от Cisco, отключайте неиспользуемые VPN‑веб‑сервисы, включайте контроль целостности прошивок и мониторинг странных перезагрузок/отсутствия логов. При подозрении — готовьте восстановление с чистых образов и, если нужно, меняйте железо. Совет от народа: не оставляйте «устаревшие» коробки в продакшне и не удивляйтесь, когда к вам заглянут с бутылкой клея и закрутят буткит.
Берегите себя и свои нервы.
📘 Понравилась статья?
Больше практики и реальных заданий — в Kraken Academy.
А чтобы точно ничего не пропустить — подпишись на наш Telegram-канал.
