亚马逊发现APT利用思科和思睿零日漏洞
亚马逊威胁情报团队发现一个高级威胁组织正在利用思科身份服务引擎(ISE)和思睿系统中先前未公开的零日漏洞。该攻击活动使用定制恶意软件,并展示了获取多个未公开漏洞的能力。这一发现突显了威胁组织聚焦关键身份和网络访问控制基础设施的趋势——企业依赖这些系统来执行安全策略并管理跨网络身份验证。
初始发现
我们的亚马逊MadPot蜜罐服务在公开披露之前检测到针对思睿Bleed Two漏洞(CVE-2025-5777)的攻击尝试,表明威胁组织一直在利用该漏洞作为零日漏洞。通过对同一威胁组织利用思睿漏洞的进一步调查,亚马逊威胁情报发现并向思科分享了一个异常负载,该负载针对思科ISE中先前未记录的端点,使用了存在漏洞的反序列化逻辑。该漏洞现被指定为CVE-2025-20337,允许威胁组织在思科ISE部署上实现预身份验证的远程代码执行,从而获得对受损系统的管理员级访问权限。这一发现特别令人担忧的是,在思科分配CVE编号或为所有受影响的思科ISE分支发布全面补丁之前,漏洞利用已在野外发生。这种补丁间隙利用技术是复杂威胁组织的典型特征,他们密切监控安全更新并快速将漏洞武器化。
定制WebShell部署
成功利用漏洞后,威胁组织部署了一个伪装成合法思科ISE组件(名为IdentityAuditAction)的定制WebShell。这不是典型的现成恶意软件,而是专门为思科ISE环境定制的后门。该WebShell展示了高级规避能力:完全在内存中运行,留下最少的取证痕迹;使用Java反射将自身注入运行线程;注册为监听器以监控Tomcat服务器上的所有HTTP请求;使用非标准Base64编码的DES加密来规避检测;并且需要了解特定的HTTP头部才能访问。
以下是反序列化例程的代码片段,显示了攻击者访问其WebShell的广泛身份验证:
|
|
安全影响
如前所述,亚马逊威胁情报通过MadPot蜜罐发现,威胁组织正在将CVE-2025-20337和CVE-2025-5777作为零日漏洞进行利用,并在调查期间 indiscriminately 针对互联网使用这些漏洞。该攻击活动突显了威胁组织针对网络边缘关键企业基础设施的不断演变的战术。威胁组织的定制工具显示了对企业Java应用程序、Tomcat内部机制以及思科身份服务引擎特定架构细微差别的深入理解。对多个未公开零日漏洞利用的访问表明这是一个资源高度充足的威胁组织,具有先进的漏洞研究能力或可能获取了非公开漏洞信息。
安全团队建议
对于安全团队而言,这提醒我们身份管理系统和远程访问网关等关键基础设施组件仍然是威胁组织的主要目标。这些漏洞利用的预身份验证性质表明,即使是配置良好且精心维护的系统也可能受到影响。这强调了实施全面纵深防御策略和开发强大检测能力的重要性,这些能力可以识别异常行为模式。亚马逊建议通过防火墙或分层访问来限制对特权安全设备端点(如管理门户)的访问。
供应商参考
- NetScaler ADC和NetScaler网关安全公告,涉及CVE-2025-5349和CVE-2025-5777
- 思科身份服务引擎未经身份验证的远程代码执行漏洞