黑客利用Cisco ASA零日漏洞部署RayInitiator和LINE VIPER恶意软件

攻击者开始利用新发现的Cisco自适应安全设备（ASA）5500-X系列防火墙零日漏洞后，全球安全团队已收到警告。该漏洞允许黑客部署名为RayInitiator和LINE VIPER的复杂恶意软件，可能让他们完全控制受影响的设备。

今日，英国国家网络安全中心（NCSC）发布了详细指南，帮助防御者识别和阻止这一威胁。在其最新公告中，NCSC提供了深入的恶意软件分析报告，并敦促组织迅速采取行动保护其网络。

Cisco确认，去年ASA攻击背后的同一威胁行为者已开发出新技术来利用5500-X系列的漏洞。一旦被攻破，攻击者可以执行任意命令、安装恶意负载并提取敏感数据。

Cisco的安全更新页面包含推荐的补丁和配置更改以修复被利用的漏洞。NCSC关于RayInitiator和LINE VIPER的报告概述了恶意软件的运作方式。RayInitiator通过修改防火墙配置和创建隐藏管理员账户来建立立足点。LINE VIPER随后提供后门，实现远程命令执行和数据外泄，而不会触发常见检测工具。

网络防御者可以下载完整分析报告和检测规则以识别入侵指标。受影响组织建议：

• 立即应用Cisco安全补丁：使用不受支持或已停止维护的固件会增加风险，因此更新到最新软件版本至关重要。
• 密切监控防火墙日志：查找异常的管理员登录、不明配置更改或与陌生外部主机的连接。
• 实施网络分段：确保关键系统与暴露的防火墙隔离以限制影响范围。
• 向NCSC报告事件：早期报告有助于跟踪威胁行为者的方法并改进集体防御。

NCSC还强调，部分ASA 5500-X型号将在2025年9月至2026年8月期间停止支持。过时设备通常缺乏安全更新，使其成为攻击者的主要目标。仍在使用这些型号的组织应毫不延迟地规划更换或升级路径。

NCSC首席技术官Ollie Whitehouse强调了紧迫性：“组织遵循供应商关于检测和修复的最佳实践至关重要。生命周期结束的技术存在重大风险，应及时将系统和设备迁移到现代版本以解决漏洞并增强韧性。”

此警报基于去年发布的联合公告，该公告分析了早期的Cisco ASA恶意软件LINE DANCER和LINE RUNNER。新的RayInitiator和LINE VIPER工具表现出更高的隐蔽性和灵活性，标志着攻击者能力的严重升级。

Cisco还在其网站上发布了检测指南，提供逐步建议以保护ASA部署并防御持续攻击。