كشف المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) أن جهات تهديد سيبراني استغلت ثغرات يوم الصفر التي تم الإعلان عنها مؤخرًا في جدران الحماية من نوع Cisco ASA لنشر عائلات برمجيات خبيثة غير موثقة سابقًا، أبرزها RayInitiator وLINE VIPER.
وأكدت الوكالة أن هذه البرمجيات تمثل تطورًا ملحوظًا من حيث مستوى التعقيد والقدرة على التملص من أنظمة الرصد، مقارنة بالحملات السابقة المرتبطة بجهات تهديد مدعومة من الصين تُعرف باسم UAT4356 أو Storm-1849.
ثغرات حرجة وتلاعب بالبرمجيات الثابتة
أوضحت Cisco أنها بدأت التحقيق في مايو 2025 بعد رصد هجمات استهدفت عدة وكالات حكومية عبر أجهزة ASA 5500-X Series، حيث تمكن المهاجمون من زرع برمجيات خبيثة وتنفيذ أوامر وربما تسريب بيانات.
وأدى تحليل البرمجيات الثابتة للأجهزة المصابة إلى اكتشاف ثغرات استُغلت لتجاوز المصادقة وتنفيذ تعليمات ضارة، أبرزها:
-
CVE-2025-20362 (درجة CVSS: 6.5)
-
CVE-2025-20333 (درجة CVSS: 9.9)
كما أُشير إلى أن بعض المهاجمين قاموا بتعديل مكوّن ROMMON المسؤول عن إدارة عملية الإقلاع في الأجهزة، لضمان استمرارية التحكم حتى بعد إعادة التشغيل أو تحديث البرمجيات، خصوصًا في الطرازات التي لا تدعم تقنيات Secure Boot وTrust Anchor.
برمجيات خبيثة بقدرات معقدة
أظهرت التحقيقات أن الهجمات اعتمدت على RayInitiator، وهو bootkit متطور يُثبت في برنامج الإقلاع (GRUB) ليستمر رغم إعادة التشغيل أو تحديث النظام. ويقوم بتحميل برمجية LINE VIPER داخل نظام التشغيل الأساسي للجدار الناري المعروف باسم “lina”.
وتتميز LINE VIPER بقدرات متقدمة منها:
-
تنفيذ أوامر واجهة الأوامر (CLI).
-
التقاط حزم البيانات وتجاوز أنظمة VPN (AAA).
-
تعطيل سجلات الأحداث syslog.
-
جمع أوامر المستخدمين وتنفيذ إعادة تشغيل مؤجلة.
كما أنها قادرة على التواصل مع خادم التحكم والسيطرة (C2) عبر جلستي WebVPN HTTPS أو عبر ICMP باستخدام بروتوكولات TCP خام، مما يجعل رصدها أكثر صعوبة.
ثغرات إضافية وإجراءات استجابة عاجلة
إلى جانب ذلك، عالجت Cisco ثغرة حرجة أخرى هي CVE-2025-20363 (درجة CVSS: 8.5/9.0) تؤثر في خدمات الويب لبرمجيات ASA وFTD وIOS، وقد تسمح بتنفيذ تعليمات ضارة عن بُعد بصلاحيات root. لكن حتى الآن، لم يتم رصد استغلال نشط لهذه الثغرة.
ودعت كل من وكالة الأمن السيبراني الكندية وNCSC البريطانية المؤسسات إلى التحديث الفوري للإصدارات الثابتة، محذّرة من خطورة استمرار تشغيل الطرازات القديمة من Cisco ASA التي بلغت أو قاربت على بلوغ مرحلة انتهاء الدعم (EoS).
