亚马逊披露利用Cisco和Citrix零日漏洞的高级网络攻击

亚马逊威胁情报团队于周三披露，其观测到一个高级威胁组织在攻击中利用了Cisco Identity Service Engine (ISE) 和 Citrix NetScaler ADC产品中的两个当时为零日的安全漏洞，旨在部署定制恶意软件。

亚马逊集成安全首席信息安全官CJ Moses在分享给The Hacker News的报告中表示：“这一发现突显了威胁组织聚焦关键身份和网络访问控制基础设施的趋势——企业依赖这些系统来执行安全策略并管理整个网络的认证。”

攻击活动由其MadPot蜜罐网络标记，该活动利用了以下两个漏洞：

• CVE-2025-5777（又称Citrix Bleed 2，CVSS评分：9.3） - Citrix NetScaler ADC和Gateway中的输入验证不足漏洞，攻击者可利用此漏洞绕过身份验证。（Citrix于2025年6月修复）
• CVE-2025-20337（CVSS评分：10.0） - Cisco Identity Services Engine (ISE) 和 Cisco ISE Passive Identity Connector (ISE-PIC) 中的未经身份验证的远程代码执行漏洞，可能允许远程攻击者在底层操作系统上以root权限执行任意代码。（Cisco于2025年7月修复）

虽然这两个缺陷在野外已被积极利用，但亚马逊的报告揭示了利用这些漏洞进行攻击的确切性质。

这家科技巨头表示，其检测到针对CVE-2025-5777作为零日漏洞的利用尝试，对该威胁的进一步调查导致发现了通过利用CVE-2025-20337针对Cisco ISE设备的异常载荷。据称该活动最终部署了一个伪装成合法Cisco ISE组件IdentityAuditAction的定制Web Shell。

Moses表示：“这不是典型的现成恶意软件，而是专门为Cisco ISE环境定制的后门。”

该Web Shell具备隐身能力，完全在内存中运行，并使用Java反射将自身注入到运行线程中。它还注册为监听器以监控Tomcat服务器上的所有HTTP请求，并采用非标准Base64编码的DES加密来规避检测。

亚马逊将此次攻击活动描述为无差别攻击，并将该威胁组织定性为"资源高度充足"，因其能够利用多个零日漏洞，可能拥有先进的漏洞研究能力或可能获取了非公开漏洞信息。此外，定制工具的使用反映了攻击者对企业Java应用程序、Tomcat内部机制和Cisco ISE内部工作原理的了解。

这些发现再次说明了威胁组织如何继续针对网络边缘设备来入侵目标网络，这使得组织通过防火墙或分层访问限制对特权管理门户的访问变得至关重要。

Moses指出：“这些漏洞利用的预认证性质表明，即使是配置良好且精心维护的系统也可能受到影响。这强调了实施全面纵深防御策略和开发强大检测能力的重要性，这些能力能够识别异常行为模式。”