Un atac sofisticat a valorificat două vulnerabilități critice în echipamente de rețea larg folosite, impactând serviciile Citrix NetScaler ADC/Gateway și Cisco Identity Services Engine. Descoperirea provine din analizele echipei de threat intelligence a Amazon, care a utilizat date de la honeypotul MadPot pentru a demonstra că vulnerabilitățile au fost exploatate înainte de publicarea alertelor și a patch-urilor.
Istoricul vulnerabilităților de rețea arată că intervalele scurte dintre descoperire și exploatare pot lăsa multe organizații expuse. În acest caz, vulnerabilitatea denumită Citrix Bleed 2, identificată ca CVE-2025-5777, reprezintă o problemă de citire din memorie în NetScaler ADC și Gateway. Citrix a lansat remediile la sfârșitul lunii iunie, dar exploituri publice au apărut la începutul lui iulie, iar agenția CISA a clasificat ulterior vulnerabilitatea ca fiind exploatată. Amazon afirmă că honeypotul lor a înregistrat încercări de exploatare chiar înainte de dezvăluirea publică, sugerând că actorii malițioși foloseau bugul ca zero-day.
În paralel, Cisco a raportat pe 17 iulie o vulnerabilitate extrem de gravă în ISE, CVE-2025-20337, care permitea unui atacator neautentificat să stocheze fișiere malițioase, să execute cod arbitrar sau chiar să obțină privilegii root pe dispozitive vulnerabile. La doar câteva zile, Cisco a emis avertismente că vulnerabilitatea era exploatată activ. Pe 28 iulie, cercetătorul Bobby Gould a publicat detalii tehnice și un lanț de exploatare.
Amazon Threat Intelligence a mers mai departe și, analizând datele MadPot, a investigat o campanie care a folosit ambele vulnerabilități înainte ca Citrix și Cisco să publice buletinele inițiale. Atacatorii au exploatat CVE-2025-20337 pentru a obține acces pre-autentificat de tip administrator la endpoint-uri Cisco ISE și au instalat un web shell personalizat numit IdentityAuditAction, mascat ca un component legitim al ISE. Acest web shell acționa ca un listener HTTP pentru a intercepta toate cererile, folosea reflection în Java pentru a injecta cod în thread-urile serverului Tomcat și aplica DES împreună cu o variantă neobișnuită de codare base64 pentru a-și ascunde urmele. Accesul la web shell necesita cunoașterea unor headere HTTP speciale și producea foarte puține urme utile pentru analiza forenzică.
Comportamentul tehnic indică faptul că autorii posedau cunoștințe avansate despre Java, Tomcat și arhitectura Cisco ISE, precum și capacitatea de a combina mai multe zero-day-uri anterior necunoscute. Totuși, Amazon nu a reușit să atribuie activitatea unui grup de amenințare cunoscut. Este notabil că țintirea părea mai degrabă nediscriminatorie decât strict focalizată, contrastând cu modelele multor operațiuni bine finanțate și direcționate.
Recomandările practice rămân aceleași: aplicați imediat actualizările disponibile pentru CVE-2025-5777 și CVE-2025-20337 și limitați accesul la dispozitivele de la marginea rețelei prin politici de firewall și stratificare a controlului accesului. Reducerea expunerii publice a interfețelor administrative și monitorizarea traficului neobișnuit către endpoint-urile ISE și NetScaler pot diminua semnificativ riscul.
Identitatea web shell-ului IdentityAuditAction și modul în care a folosit Java reflection și Tomcat pentru a se ascunde ridică întrebări despre pregătirea echipelor de securitate în detectarea manipulărilor subtile ale componentelor legitime. Observația că exploatările au apărut înainte de anunțuri subliniază importanța honeypoturilor precum MadPot pentru surprinderea activităților care altfel rămân invizibile. Ce urme concrete rămân detectabile după ce un atacator utilizează DES cu o codare base64 atipică, un listener HTTP și injectare în thread-uri Tomcat? Și cât de des verificăm în mod real endpoint-urile ISE pentru module necunoscute?
Doriți să aflați cum să verificați prezența unui web shell IdentityAuditAction pe echipamentele proprii sau ce reguli practice de firewall să aplicați pentru NetScaler și ISE?
Fii primul care comentează