Pesquisadores de segurança revelaram que firewalls Cisco ASA e FTD estão sendo alvos de uma campanha avançada que explora vulnerabilidades zero day para instalar malwares sofisticados e persistentes. A ofensiva foi detectada por equipes do Reino Unido em conjunto com órgãos dos Estados Unidos, incluindo a Agência de Segurança Cibernética e Infraestrutura (CISA), que emitiu uma diretiva de emergência exigindo ações imediatas em redes governamentais.
Os atacantes se aproveitaram de falhas ainda não corrigidas, como as identificadas nas CVE:2025-20333, CVE:2025-20362 e CVE:2025-20363. Essas brechas permitem desde execução remota de código até acesso não autenticado a interfaces administrativas. Segundo os relatórios, os dispositivos mais afetados são aqueles que já ultrapassaram o prazo de suporte oficial, o que dificulta a aplicação de correções imediatas. Dois malwares foram empregados na campanha. O primeiro é o RayInitiator, um bootkit que altera o firmware do firewall, garantindo persistência mesmo após reinicializações. O segundo é o LINE VIPER, um shellcode modular que permite ao invasor executar comandos remotamente, manipular logs e capturar dados em tempo real a partir da própria estrutura de rede comprometida.
As investigações indicam que os agentes por trás da campanha são altamente qualificados e utilizam técnicas avançadas, como modificação de firmware e uso de protocolos legítimos para comunicação com servidores de comando e controle. Esses fatores tornam a detecção e a remoção do malware particularmente difíceis. 1Diante do cenário, a CISA orientou que órgãos públicos realizem varreduras nos dispositivos Cisco ASA e FTD, isolem equipamentos potencialmente afetados e apliquem as atualizações fornecidas pela Cisco. Organizações do setor privado também são encorajadas a seguir as mesmas recomendações, especialmente se utilizam os firewalls em ambientes críticos.
