Peretas Memanfaatkan Celah Baru (Zero-Day) di Cisco ASA Firewall untuk Menyebarkan Spyware RayInitiator dan LINE VIPER
Pusat Keamanan Siber Nasional (NCSC) Inggris baru-baru ini mengeluarkan peringatan mengenai kampanye peretasan canggih yang telah mengeksploitasi kerentanan zero-day pada perangkat Cisco Adaptive Security Appliance (ASA) Firewall. Serangan ini digunakan untuk menanamkan keluarga malware yang belum pernah terdokumentasi, yaitu RayInitiator dan LINE VIPER.
Menurut NCSC, malware baru ini menunjukkan evolusi signifikan dalam hal kecanggihan dan kemampuan untuk menghindari deteksi dibandingkan dengan alat yang digunakan dalam kampanye peretasan sebelumnya.
Kampanye ArcaneDoor dan Kerentanan Kritis
Cisco pertama kali mulai menyelidiki serangan terhadap beberapa instansi pemerintah pada Mei 2025. Penyelidikan mendalam ini mengarah pada penemuan beberapa bug kerusakan memori yang dieksploitasi oleh pelaku ancaman.
Aktivitas peretasan ini melibatkan eksploitasi dua kerentanan utama—CVE-2025-20362 (skor CVSS: 6.5) dan CVE-2025-20333 (skor CVSS: 9.9)—untuk melewati otentikasi dan mengeksekusi kode berbahaya. Kampanye ini dinilai terkait erat dengan kelompok ancaman yang dijuluki ArcaneDoor, yang diyakini berasal dari kelompok peretasan yang disponsori negara dan diduga terkait dengan Tiongkok, dikenal sebagai UAT4356 (alias Storm-1849).
Pelaku ancaman diketahui menggunakan teknik penghindaran tingkat lanjut, termasuk menonaktifkan pencatatan (logging), mencegat perintah CLI, dan bahkan merusak perangkat secara sengaja untuk mencegah analisis diagnostik.
Persistensi Tingkat Tinggi Melalui Modifikasi ROMMON
Untuk memastikan akses berkelanjutan (persistence) bahkan setelah reboot dan pembaruan perangkat lunak, peretas dilaporkan telah memodifikasi ROMMON (Read-Only Memory Monitor) pada perangkat yang terinfeksi. Modifikasi firmware tingkat rendah ini hanya terdeteksi pada model Cisco ASA 5500-X Series tertentu yang tidak dilengkapi dengan teknologi Secure Boot dan Trust Anchor.
Perangkat yang paling rentan adalah model ASA 5500-X Series yang menjalankan Cisco ASA Software release 9.12 atau 9.14 dengan layanan web VPN diaktifkan. Perlu dicatat, banyak perangkat yang terpengaruh ini telah mencapai atau akan segera mencapai status Akhir Dukungan (End-of-Support/EoS).
RayInitiator dan LINE VIPER: Senjata Multi-Tahap
Serangan ini menggunakan bootkit multi-tahap yang menunjukkan peningkatan keamanan operasional pelaku:
- RayInitiator (Bootkit): Ini adalah bootkit GRUB (GRand Unified Bootloader) persisten yang di-flash ke perangkat korban. Kemampuannya untuk bertahan dari reboot dan pembaruan firmware menjadikannya sangat berbahaya. Tugas utamanya adalah memuat payload utama, LINE VIPER, ke dalam memori.
- LINE VIPER (Shellcode Loader): Setelah dimuat, LINE VIPER dapat menjalankan perintah CLI, melakukan penangkapan paket, melewati Autentikasi VPN (AAA) untuk akses peretas, menyembunyikan pesan syslog, dan memanen perintah CLI pengguna. Digambarkan sebagai "lebih komprehensif" daripada malware sejenis sebelumnya, ia dirancang untuk menghindari jejak forensik dengan memodifikasi binary "lina" (perangkat lunak sistem operasi inti ASA) dan mencegah deteksi modifikasi pada perintah CLI.
Penanganan Kerentanan Lain
Sebagai bagian dari upaya penanganan, Cisco juga telah mengatasi kerentanan kritis ketiga, CVE-2025-20363 (skor CVSS: 8.5/9.0), yang memengaruhi berbagai produk seperti ASA Software, FTD Software, IOS, IOS XE, dan IOS XR. Kerentanan ini berpotensi memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer sebagai root, yang dapat menyebabkan kompromi total perangkat.
Meskipun kerentanan ini ditemukan secara internal oleh Cisco Advanced Security Initiatives Group (ASIG) dan belum ada bukti dieksploitasi di alam liar, Pusat Keamanan Siber Kanada (CCCS) telah mendesak organisasi untuk mengambil tindakan segera dengan memperbarui produk Cisco ASA dan FTD mereka ke versi yang telah diperbaiki guna mengatasi seluruh ancaman yang terungkap.
Sumber : https://thehackernews.com/2025/09/cisco-asa-firewall-zero-day-exploits.html
