Zero-Day-Angriffe auf Cisco ASA: RayInitiator und LINE VIPER im Einsatz

In einer koordinierten Kampagne kompromittierten Angreifer verschiedene Modelle der Cisco ASA 5500-X Series mithilfe mehrerer Zero-Day-Schwachstellen. Ziel der Angriffe war es, hartnäckige Malware in Form des GRUB-Bootkits RayInitiator und des modularen Loaders LINE VIPER zu installieren. Die britische Behörde NCSC und Cisco selbst dokumentierten, dass es sich um eine staatlich unterstützte Operation handelt, die mit hoher technischer Raffinesse durchgeführt wurde.

Der technische Kern: Mehrere Zero-Days, kein Schutz durch Secure Boot

Cisco identifizierte zwei Sicherheitslücken, die aktiv ausgenutzt wurden:

• CVE-2025-20362 – Authentifizierungsbypass (CVSS: 6.5)
• CVE-2025-20333 – Codeausführung mit Root-Rechten (CVSS: 9.9)

Beide Schwachstellen betreffen Cisco ASA-Software mit aktivierten VPN-Webdiensten, insbesondere auf Geräten ohne Secure Boot und Trust Anchor Technologien. Letztere wären erforderlich gewesen, um das Überschreiben des Bootloaders zu verhindern.

Die Angreifer manipulierten darüber hinaus den ROM Monitor (ROMMON) – eine zentrale Firmware-Komponente, die normalerweise den Startvorgang und Diagnosetools verwaltet. Durch diese Modifikation konnte Persistenz über Reboots und Softwareupdates hinweg erreicht werden.

Betroffene Geräte: Vor allem End-of-Life-Modelle

Cisco listet folgende ASA-Modelle als kompromittiert auf:

• 5512-X und 5515-X – Support-Ende: 31. August 2022
• 5585-X – Support-Ende: 31. Mai 2023
• 5525-X, 5545-X und 5555-X – Support-Ende: 30. September 2025

Alle genannten Modelle befinden also sich am oder kurz vor dem Ende ihres offiziellen Lebenszyklus – ein Faktor, der es Angreifern erleichtert, Geräte mit bekannten oder nicht mehr gepatchten Schwachstellen ins Visier zu nehmen.

RayInitiator: Ein GRUB-Bootkit der neuen Generation

Das bei den Angriffen eingesetzte Bootkit RayInitiator wird direkt in den Bootloader der ASA-Geräte geflasht. Es überlebt dadurch Systemneustarts und selbst Firmware-Updates. Die Malware lädt beim Bootvorgang das Schadmodul LINE VIPER direkt in den Speicher und übernimmt damit die volle Kontrolle über das Gerät – ohne dass dies im laufenden Betrieb auffällt.

LINE VIPER: Benutzerbefehle, CLI-Manipulation und VPN-Umgehung

Sobald LINE VIPER im Speicher ist, entfaltet sich die volle Funktionsvielfalt der Malware. Zu den dokumentierten Funktionen gehören:

• Ausführen beliebiger CLI-Befehle auf dem ASA-Gerät
• Paketmitschnitt zur Ausleitung sensibler Daten
• Umgehung der VPN-Authentifizierung inklusive AAA-Mechanismen (Authentication, Authorization Accounting
• Unterdrückung von Syslog-Nachrichten, um Aktivitäten zu verschleiern
• Harvesting von Benutzerbefehlen, etwa für späteren Missbrauch
• Verzögerte Reboots, um Spuren zu verwischen

Die Malware verankert sich tief in der ASA-Softwarekomponente „lina“ – einem Linux-basierten System, das zentrale Funktionen wie Paketfilterung, VPN, NAT und Routing bereitstellt.

Besonders perfide: LINE VIPER ändert die Funktion systemkritischer Befehle wie copy und verify, um forensische Analysen zu sabotieren und die Integrität des Systems scheinbar aufrechtzuerhalten.

Kommunikationswege zur Steuerung

LINE VIPER nutzt zwei Methoden zur Kommunikation mit seinem Command-and-Control-Server:

• HTTPS über WebVPN-Authentifizierungssitzungen
• ICMP-Anfragen mit Rückkanal über TCP

Diese unauffälligen Kommunikationspfade erlauben es den Angreifern, sich im Netzwerk zu bewegen, ohne sofort entdeckt zu werden. Der Aufbau und die Absicherung dieser Kanäle zeigen deutlich die gestiegene technische Reife der Operation.

Vergleich zur Kampagne ArcaneDoor

Laut NCSC stellt die aktuelle Kampagne eine deutliche Weiterentwicklung der im Jahr 2024 bekannt gewordenen „ArcaneDoor“-Angriffe dar. Diese wurden der chinesischen Hackergruppe UAT4356 (auch bekannt als Storm-1849) zugerechnet. Die neuen Malware-Varianten sind:

• Sofort persistenter (Bootkit statt Shellcode)
• Modularer und vielseitiger in der Funktionalität
• Stärker auf Ausweichmechanismen ausgelegt (zum Beispiel Logging-Manipulation)
• Effektiver gegen forensische Analyse geschützt

Die Professionalität der Operation lässt darauf schließen, dass es sich um einen staatlich geförderten Akteur mit Zugang zu Ressourcen auf nationalstaatlichem Niveau handelt.

Weitere Schwachstelle entdeckt – noch nicht aktiv ausgenutzt

Cisco veröffentlichte im Zuge der Untersuchungen ein weiteres Advisory zu einer dritten, kritischen Schwachstelle:

• CVE-2025-20363 – Remote Code Execution über Webdienste (CVSS: 8.5–9.0)

Diese Sicherheitslücke betrifft nicht nur ASA und FTD-Software, sondern auch IOS-, IOS XE- und IOS XR-Systeme. Laut Cisco wurde die Schwachstelle intern von der Advanced Security Initiatives Group (ASIG) entdeckt und bislang nicht aktiv in Angriffskampagnen eingesetzt.

Ein erfolgreicher Angriff auf diese Schwachstelle würde es erlauben, beliebigen Code als Root auszuführen – und damit die vollständige Kontrolle über das betroffene Gerät zu übernehmen.

Empfehlungen für Unternehmen

Sicherheitsbehörden wie das kanadische Centre for Cyber Securityrufen Unternehmen dazu auf, umgehend folgende Maßnahmen zu ergreifen:

• Austausch veralteter ASA-Geräte, insbesondere solcher ohne Secure Boot
• Installation aller verfügbaren Cisco-Sicherheitsupdates
• Analyse von Boot- und Laufzeitmodifikationen, insbesondere in ROMMON und „lina“
• Überprüfung auf unerklärliche CLI-Anomalien und Syslog-Störungen
• Segmentierung und Monitoring von betroffenen Netzsegmenten

Unternehmen sollten zudem prüfen, ob betroffene ASA-Modelle in sensiblen Netzbereichen eingesetzt werden – etwa als VPN-Konzentratoren, Standort-Gateways oder Perimeter-Firewalls.

Fazit: Altgeräte als Achillesferse in kritischen Netzwerken

Die Angriffe zeigen erneut, wie gefährlich es ist, End-of-Life-Hardware in produktiven Netzwerken weiter zu betreiben – insbesondere bei sicherheitskritischen Komponenten wie Firewalls. Die Kombination aus Zero-Day-Exploits, Bootloader-Manipulation und verschleierter Malware wie LINE VIPER stellt selbst fortgeschrittene Sicherheitsmaßnahmen vor Herausforderungen. Unternehmen sind gut beraten, ihre ASA-Systeme technisch wie strategisch auf den Prüfstand zu stellen – bevor Angreifer es tun.