Stampa

Firewall Cisco Sotto Attacco: Malware Invisibili e Bootkit Minacciano la Sicurezza Aziendale

Le recenti vulnerabilità zero-day che hanno colpito i firewall Cisco ASA stanno destando grande preoccupazione nel settore della sicurezza informatica. Secondo il National Cyber Security Centre del Regno Unito, attori malevoli hanno sfruttato queste falle per diffondere malware avanzati come RayInitiator e LINE VIPER, segnando un salto di qualità nell’offensiva e nelle tecniche di evasione utilizzate.

Cisco ha confermato che gli attacchi, rilevati a partire da maggio 2025, hanno preso di mira dispositivi ASA 5500-X Series spesso già fuori supporto, con VPN web services attivi. L’analisi dei firmware ha portato all’individuazione di bug di corruzione di memoria, sfruttati per impiantare malware, eseguire comandi e potenzialmente esfiltrare dati sensibili. Gli attaccanti hanno dimostrato grande destrezza, disabilitando i log, intercettando i comandi CLI e forzando crash dei dispositivi per ostacolare le analisi forensi.

Principali vulnerabilità e tecniche di attacco

Le vulnerabilità principali coinvolte sono CVE-2025-20362 e CVE-2025-20333, che permettono di bypassare l’autenticazione ed eseguire codice malevolo. Questi attacchi vengono attribuiti al gruppo ArcaneDoor, sospettato di avere legami con la Cina. In alcuni casi, i criminali sono riusciti a modificare il ROMMON (Read-Only Memory Monitor), compromettendo il processo di avvio per garantirsi persistenza anche dopo riavvii o aggiornamenti software, soprattutto sui modelli privi di Secure Boot e Trust Anchor.

Tra i modelli ASA compromessi figurano:

  • 5512-X
  • 5515-X
  • 5585-X
  • 5525-X
  • 5545-X
  • 5555-X

Tutti questi dispositivi sono ormai a fine supporto o prossimi a esserlo. Cisco ha anche risolto una terza vulnerabilità critica (CVE-2025-20363) che, se sfruttata, potrebbe consentire l’esecuzione di codice arbitrario come root tramite richieste HTTP malformate, anche se al momento non risultano exploit attivi in rete.

Caratteristiche dei malware RayInitiator e LINE VIPER

Il malware RayInitiator, un bootkit persistente basato su GRUB, viene scritto nella memoria dei dispositivi e resiste a riavvii e aggiornamenti firmware. Il suo compito è caricare in memoria LINE VIPER, che consente agli attaccanti di eseguire comandi CLI, acquisire traffico, aggirare i controlli VPN AAA, raccogliere credenziali e forzare riavvii. LINE VIPER comunica con il server di comando e controllo sia tramite sessioni WebVPN su HTTPS che attraverso ICMP e TCP grezzi, apportando modifiche che rendono difficile la rilevazione forense.

Raccomandazioni di sicurezza

Le autorità e Cisco raccomandano alle organizzazioni di aggiornare con urgenza i dispositivi ASA e FTD alle versioni corrette, poiché la combinazione di bootkit persistenti, malware sofisticato e tecniche di evasione avanzate rappresenta una minaccia concreta per la sicurezza delle reti aziendali.

, , ,