Οι φορείς απειλών χρησιμοποίησαν μια ευπάθεια μηδενικής ημέρας μέγιστης σοβαρότητας στα συστήματα Cisco Identity Service Engine (ISE) και Citrix για να αναπτύξουν προσαρμοσμένο κακόβουλο λογισμικό backdoor.
Η ομάδα πληροφοριών απειλών της Amazon αναγνωρισθείς ανεπαρκής επικύρωση της ευπάθειας εισόδου που παρέχεται από το χρήστη σε αναπτύξεις Cisco ISE. Αυτό επέτρεψε την εκτέλεση απομακρυσμένου κώδικα πριν από τον έλεγχο ταυτότητας σε παραβιασμένα τελικά σημεία, παρέχοντας πρόσβαση σε επίπεδο διαχειριστή. Το σφάλμα, παρακολουθείται ως CVE-2025-20337έχει βαθμολογία σοβαρότητας από 10/10 (κρίσιμος).
Οι ερευνητές ανακάλυψαν αυτήν την εισβολή κατά τη διερεύνηση μιας ευπάθειας του Citrix Bleed Two, η οποία επίσης χρησιμοποιήθηκε ως μηδενική ημέρα. Σύμφωνα με το Σελίδα NVD“Μια ευπάθεια σε ένα συγκεκριμένο API των Cisco ISE και Cisco ISE-PIC θα μπορούσε να επιτρέψει σε έναν μη επαληθευμένο, απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στο υποκείμενο λειτουργικό σύστημα ως root.” Η συμβουλή αναφέρει, “Ο εισβολέας δεν απαιτεί έγκυρα διαπιστευτήρια για να εκμεταλλευτεί αυτήν την ευπάθεια”, υποδεικνύοντας ότι οι εκμεταλλεύσεις πραγματοποιούνται με την υποβολή ενός δημιουργημένου αιτήματος API.
Οι εισβολείς ανέπτυξαν ένα προσαρμοσμένο κέλυφος ιστού μεταμφιεσμένο ως ένα νόμιμο στοιχείο Cisco ISE με το όνομα IdentityAuditAction. Η Amazon εξήγησε ότι αυτό το κακόβουλο λογισμικό δεν ήταν διαθέσιμο, αλλά προσαρμοσμένο για περιβάλλοντα Cisco ISE. Το κέλυφος ιστού λειτουργούσε εξ ολοκλήρου στη μνήμη, χρησιμοποιούσε την ανάκλαση Java για την εισαγωγή σε νήματα που εκτελούνται και εγγράφηκε ως ακροατής για την παρακολούθηση αιτημάτων HTTP στον διακομιστή Tomcat. Εφάρμοσε επίσης κρυπτογράφηση DES με μη τυπική κωδικοποίηση Base64. Πρόσβαση στις απαιτούμενες γνώσεις συγκεκριμένων κεφαλίδων HTTP. Η Amazon δεν απέδωσε τις επιθέσεις σε κάποιον συγκεκριμένο παράγοντα απειλής, δηλώνοντας ότι οι επιθέσεις δεν ήταν στοχευμένες αλλά χρησιμοποιήθηκαν αδιακρίτως εναντίον πολλών οργανισμών.
VIA: DataConomy.com
