ภัยคุกคามระดับชาติ! Zero-Day บน Cisco ASA Firewall ถูกเจาะฝัง Malware ใหม่: RayInitiator และ LINE VIPER

การโจมตี Zero-Day ที่ยกระดับความซับซ้อน

ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติสหราชอาณาจักร (U.K. NCSC) ได้ออกมาเปิดเผยถึงภัยคุกคามร้ายแรงที่กำลังเกิดขึ้น โดยระบุว่าผู้โจมตีได้ใช้ช่องโหว่ Zero-Day ที่เพิ่งถูกเปิดเผยใน Cisco ASA Firewall เพื่อติดตั้งมัลแวร์สายพันธุ์ใหม่ที่ไม่เคยมีการบันทึกไว้มาก่อน นั่นคือ RayInitiator และ LINE VIPER การโจมตีครั้งนี้ถือเป็นการพัฒนาครั้งสำคัญในเชิงความซับซ้อน โดย NCSC ระบุว่ามัลแวร์ตระกูลใหม่นี้มีความสามารถในการ หลบเลี่ยงการตรวจจับ ได้เหนือกว่าเครื่องมือที่ใช้ในการโจมตีครั้งก่อน ๆ อย่างมาก Cisco ได้เริ่มต้นการสอบสวนการโจมตีครั้งนี้ตั้งแต่เดือนพฤษภาคม 2025 หลังพบการมุ่งเป้าไปที่หน่วยงานรัฐบาลหลายแห่ง ซึ่งพุ่งเป้าไปที่อุปกรณ์รุ่น Adaptive Security Appliance (ASA) 5500-X Series โดยมีวัตถุประสงค์เพื่อฝังมัลแวร์, ดำเนินการคำสั่งที่เป็นอันตราย, และอาจมีการ ขโมยข้อมูล ออกจากอุปกรณ์ที่ถูกบุกรุก

ช่องโหว่ร้ายแรงที่ถูกใช้ในการโจมตี

การวิเคราะห์อย่างละเอียดของเฟิร์มแวร์ที่ถูกดึงออกมาจากอุปกรณ์ที่ติดเชื้อ นำไปสู่การค้นพบช่องโหว่การจัดการหน่วยความจำ (Memory Corruption Bug) ในซอฟต์แวร์ Cisco Secure Firewall ASA Software ซึ่งการโจมตีเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่หลักสองตัว:
  1. CVE-2025-20362 (CVSS score: 6.5)
  2. CVE-2025-20333 (CVSS score: 9.9 - ระดับวิกฤต)
ช่องโหว่เหล่านี้ถูกนำมาใช้เพื่อ ข้ามการตรวจสอบสิทธิ์ (Bypass Authentication) และ ดำเนินการโค้ดที่เป็นอันตราย บนอุปกรณ์ที่เสี่ยงต่อการถูกโจมตี ผู้โจมตีมีการใช้เทคนิคการหลบเลี่ยงขั้นสูง เช่น การ ปิดการบันทึก (disabling logging), การ ดักจับคำสั่ง CLI และการ ทำให้เครื่องหยุดทำงาน (crashing devices) โดยเจตนาเพื่อป้องกันการวิเคราะห์ทางนิติวิทยาศาสตร์

RayInitiator และ LINE VIPER: ความซับซ้อนที่เหนือกว่า

NCSC เปิดเผยว่าการโจมตีได้ใช้ RayInitiator ซึ่งเป็น มัลติสเตจบูตกิต (Multi-Stage Bootkit) เพื่อติดตั้ง LINE VIPER ซึ่งเป็น User-Mode Shellcode Loader เข้าไปในอุปกรณ์ ASA Firewall

RayInitiator: มัลแวร์ที่ฝังลึกและคงอยู่ถาวร

RayInitiator เป็น Persistent GRand Unified Bootloader (GRUB) bootkit ที่ถูกแฟลชลงในอุปกรณ์ ทำให้สามารถ คงอยู่รอด ได้แม้กระทั่งหลังการ รีบูต หรือการอัปเกรดเฟิร์มแวร์ โดยเฉพาะอย่างยิ่งถูกตรวจพบในรุ่น Cisco ASA 5500-X Series ที่ ขาดเทคโนโลยี Secure Boot และ Trust Anchor นอกจากนี้ ในบางกรณี ผู้โจมตียังได้ แก้ไข ROMMON (Read-Only Memory Monitor) ซึ่งเป็นส่วนที่ควบคุมกระบวนการบูต เพื่ออำนวยความสะดวกในการ คงอยู่ถาวร (Persistence) ข้ามการรีบูตและการอัปเกรดซอฟต์แวร์

LINE VIPER: เครื่องมือสอดแนมและหลบเลี่ยงชั้นยอด

LINE VIPER ได้รับการอธิบายว่ามีความครอบคลุมมากกว่า Line Dancer (มัลแวร์ที่ใช้ในการโจมตี ArcaneDoor ก่อนหน้านี้) โดยมีขีดความสามารถที่น่าตกใจ ได้แก่:
  • การรันคำสั่ง CLI
  • การ ดักจับแพ็กเก็ต (packet captures)
  • การ ข้ามการตรวจสอบสิทธิ์ VPN (VPN Authentication Bypass)
  • การ ระงับข้อความ syslog
  • การ เก็บเกี่ยวคำสั่ง CLI ของผู้ใช้
  • การสั่งการ รีบูตเครื่องแบบหน่วงเวลา
LINE VIPER ยังถูกออกแบบมาให้ทำการแก้ไขในไบนารีหลักของ ASA ที่เรียกว่า "lina" เพื่อ หลีกเลี่ยงการทิ้งร่องรอยทางนิติวิทยาศาสตร์ และป้องกันการตรวจจับการเปลี่ยนแปลงคำสั่ง CLI สำคัญ

เบื้องหลังการโจมตีและอุปกรณ์ที่ได้รับผลกระทบ

การโจมตีครั้งนี้ประเมินว่าเชื่อมโยงกับกลุ่มภัยคุกคามที่ชื่อว่า ArcaneDoor ซึ่งถูกระบุว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ UAT4356 (aka Storm-1849) อุปกรณ์ที่ถูกโจมตีสำเร็จ ได้แก่รุ่น ASA 5500-X Series ที่รันซอฟต์แวร์ Cisco ASA Software releases 9.12 หรือ 9.14 โดยมี VPN Web Services เปิดใช้งานอยู่ และที่น่ากังวลคือ อุปกรณ์ที่ได้รับผลกระทบทั้งหมดนั้น ได้สิ้นสุดการสนับสนุน (EoS) หรือกำลังจะสิ้นสุดลงในเร็ว ๆ นี้ ซึ่งทำให้ขาดการอัปเดตด้านความปลอดภัยที่สำคัญ

ช่องโหว่วิกฤตตัวที่สาม (CVE-2025-20363)

นอกจากช่องโหว่ที่ถูกใช้ในการโจมตี Zero-Day แล้ว Cisco ยังได้แก้ไขช่องโหว่วิกฤตตัวที่สาม (CVE-2025-20363 - CVSS score: 8.5/9.0) ใน Web Services ของซอฟต์แวร์หลายตัว ซึ่งอนุญาตให้ผู้โจมตีจากระยะไกลสามารถ ดำเนินการโค้ดตามอำเภอใจในระดับ Root และนำไปสู่การ ควบคุมอุปกรณ์ได้อย่างสมบูรณ์ แม้ว่าจะยังไม่พบหลักฐานการถูกโจมตีในวงกว้างก็ตาม

คำถามที่พบบ่อย (FAQs) และมาตรการเร่งด่วน

  • Q: Zero-Day ใน Cisco ASA คืออะไร?
    • A: เป็นช่องโหว่ความปลอดภัยที่ไม่เคยถูกเปิดเผยมาก่อนใน Cisco ASA Firewall ที่ถูกผู้โจมตีใช้ประโยชน์ทันทีเพื่อติดตั้งมัลแวร์ RayInitiator และ LINE VIPER
  • Q: องค์กรควรทำอย่างไร?
    • A: Canadian Centre for Cyber Security และ Cisco แนะนำให้องค์กรต่าง ๆ อัปเดต ซอฟต์แวร์ Cisco ASA และ FTD products เป็นเวอร์ชันที่ได้รับการแก้ไขโดยเร็วที่สุด
  • Q: มัลแวร์ใหม่ LINE VIPER อันตรายอย่างไร?
    • A: อันตรายมาก เพราะมันเป็น Bootkit ที่ฝังตัวถาวร, สามารถ ข้ามการตรวจสอบสิทธิ์ VPN, ดักจับคำสั่ง และถูกออกแบบมาเพื่อ หลีกเลี่ยงการตรวจจับ ทางนิติวิทยาศาสตร์

สรุป

การเปิดเผยช่องโหว่ Zero-Day ใน Cisco ASA Firewall ที่นำไปสู่การติดตั้งมัลแวร์ RayInitiator และ LINE VIPER โดยกลุ่มที่คาดว่าได้รับการสนับสนุนจากรัฐบาล ถือเป็น สัญญาณเตือนภัยสีแดง สำหรับผู้ดูแลระบบทั่วโลก การโจมตีนี้เน้นย้ำถึงความสำคัญของการ ไม่ใช้อุปกรณ์ที่สิ้นสุดการสนับสนุน (EoS) และความจำเป็นในการ อัปเดตแพตช์ความปลอดภัย อย่างเร่งด่วน การยกระดับความซับซ้อนของมัลแวร์ใหม่ที่เน้นการ หลบเลี่ยงการตรวจจับ แสดงให้เห็นว่าการป้องกันทางไซเบอร์จำเป็นต้องก้าวไปข้างหน้าอย่างรวดเร็วเช่นกัน CTA BLOG TTT-WEBSITE: เพื่อความปลอดภัยขององค์กร!
  • ตรวจสอบด่วน!: คุณใช้อุปกรณ์ Cisco ASA 5500-X Series ที่ถึง EoS หรือไม่? ตรวจสอบเวอร์ชันซอฟต์แวร์ของคุณและดำเนินการอัปเดตทันที!
  • แชร์บทความนี้: แชร์ข่าวร้ายแรงนี้ให้ทีม IT Security และผู้บริหาร เพื่อกระตุ้นให้เกิดการดำเนินการแก้ไขโดยเร็วที่สุด!
  • สมัครรับข่าวสาร: ติดตามการแจ้งเตือน Zero-Day และอัปเดตความปลอดภัยไซเบอร์จากเรา เพื่อไม่พลาดภัยคุกคามร้ายแรงระดับโลก!