Ένας προηγμένος παράγοντας απειλών εκμεταλλεύτηκε τα κρίσιμα τρωτά σημεία “Citrix Bleed 2″ (CVE-2025-5777) στο NetScaler ADC και το Gateway και το CVE-2025-20337 που επηρεάζουν το Cisco Identity Service Engine (ISE) ως μηδενικές ημέρες για να αναπτύξει προσαρμοσμένο κακόβουλο λογισμικό.
Η ομάδα πληροφοριών απειλών της Amazon, αναλύοντας «MadPotΤα δεδομένα της honeypot, διαπίστωσαν ότι οι χάκερ αξιοποίησαν τα δύο ζητήματα ασφαλείας προτού δημοσιοποιηθούν τα ζητήματα ασφαλείας και γίνουν διαθέσιμα οι ενημερώσεις κώδικα.
«Η υπηρεσία μας Amazon MadPot honeypot εντόπισε προσπάθειες εκμετάλλευσης για την ευπάθεια Citrix Bleed Two (CVE-2025-5777) πριν από τη δημόσια αποκάλυψη, υποδεικνύοντας ότι ένας παράγοντας απειλής είχε εκμεταλλευτεί την ευπάθεια ως μηδενική ημέρα», εξηγεί η Amazon.
«Μέσα από περαιτέρω διερεύνηση της ίδιας απειλής που εκμεταλλεύεται την ευπάθεια του Citrix, η Amazon Threat Intelligence εντόπισε και μοιράστηκε με τη Cisco ένα ανώμαλο ωφέλιμο φορτίο που στόχευε ένα προηγουμένως μη τεκμηριωμένο τελικό σημείο στο Cisco ISE που χρησιμοποιούσε ευάλωτη λογική deserialization».
Το Citrix Bleed 2 είναι ένα πρόβλημα ανάγνωσης μνήμης εκτός ορίων ADC και Gateway του NetScaler για το οποίο ο προμηθευτής δημοσίευσε επιδιορθώσεις στα τέλη Ιουνίου.
Παρόλο που ο πωλητής χρειαζόταν μεγαλύτερο χρονικό διάστημα για να επιβεβαιώσει ότι το ελάττωμα χρησιμοποιήθηκε σε επιθέσεις, παρά τις πολλές αναφορές τρίτων που ισχυρίστηκαν ότι χρησιμοποιήθηκε σε επιθέσεις, οι εκμεταλλεύσεις έγιναν διαθέσιμες στις αρχές Ιουλίου και η CISA το επισήμανε ως εκμεταλλευόμενο.
Το ελάττωμα στο ISE (CVE-2025-20337), με μέγιστη βαθμολογία σοβαρότητας, δημοσιεύτηκε στις 17 Ιουλίου, όταν η Cisco προειδοποίησε ότι θα μπορούσε να γίνει εκμετάλλευση για να επιτραπεί σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να αποθηκεύει κακόβουλα αρχεία, να εκτελεί αυθαίρετο κώδικα ή να αποκτήσει δικαιώματα root σε ευάλωτες συσκευές.
Σε λιγότερο από πέντε ημέρες, ο πωλητής επανεξέδωσε την προειδοποίησή του σχετικά με την ενεργή εκμετάλλευση του CVE-2025-20337. Στις 28 Ιουλίου, ο ερευνητής Bobby Gould δημοσίευσε τεχνικές λεπτομέρειες σε μια συγγραφή που περιελάμβανε μια αλυσίδα εκμετάλλευσης.
Σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer, η Amazon λέει ότι και τα δύο ελαττώματα αξιοποιήθηκαν στις επιθέσεις APT προτού η Cisco και η Citrix δημοσιεύσουν τα αρχικά τους δελτία ασφαλείας.
Οι χάκερ χρησιμοποίησαν το CVE-2025-20337 για να αποκτήσουν πρόσβαση διαχειριστή προέγκρισης στα τελικά σημεία Cisco ISE και ανέπτυξαν ένα προσαρμοσμένο κέλυφος ιστού με το όνομα «IdentityAuditAction», μεταμφιεσμένο ως νόμιμο στοιχείο ISE.
Το κέλυφος ιστού εγγράφηκε ως ακροατής HTTP για να υποκλέψει όλα τα αιτήματα και χρησιμοποίησε την αντανάκλαση Java για την εισαγωγή στα νήματα διακομιστή Tomcat.
Χρησιμοποίησε επίσης κρυπτογράφηση DES με μη τυπική κωδικοποίηση base64 για stealth, απαιτούσε γνώση συγκεκριμένων κεφαλίδων HTTP για πρόσβαση και άφησε ελάχιστα εγκληματολογικά ίχνη πίσω.
Η χρήση πολλαπλών ακάλυπτων ελαττωμάτων zero-day και η προηγμένη γνώση των εσωτερικών στοιχείων Java/Tomcat και της αρχιτεκτονικής Cisco ISE, όλα δείχνουν έναν παράγοντα απειλής με υψηλούς πόρους και προηγμένους. Ωστόσο, η Amazon δεν μπορούσε να αποδώσει τη δραστηριότητα σε μια γνωστή ομάδα απειλών.
Περιέργως, όμως, η στόχευση φαινόταν αδιάκριτη, κάτι που δεν ταιριάζει με το συνήθως στενό εύρος των εξαιρετικά στοχευμένων επιχειρήσεων από τέτοιους παράγοντες απειλής.
Συνιστάται η εφαρμογή των διαθέσιμων ενημερώσεων ασφαλείας για τα CVE-2025-5777 και CVE-2025-20337 και ο περιορισμός της πρόσβασης σε συσκευές δικτύου αιχμής μέσω τείχους προστασίας και επιστρώσεων.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
