攻击者将思杰、思科零日漏洞利用转化为定制恶意软件地狱

根据亚马逊首席信息安全官CJ Moses的说法，一名“高级”攻击者利用CitrixBleed 2和一个最高严重等级的思科身份服务引擎（ISE）漏洞作为零日漏洞，部署了定制恶意软件。

这家云巨头的MadPot蜜罐在关键漏洞公开披露之前，检测到未具名的恶意行为者试图通过CVE-2025-5777入侵存在缺陷的思杰NetScaler ADC和NetScaler Gateway设备，Moses在周三的安全博客中表示。

CVE-2025-5777是NetScaler Gateway和AAA虚拟服务器中的一个越界读取缺陷，可允许远程攻击者泄露内存内容。由于与原始CitrixBleed的相似性，安全研究人员将其称为CitrixBleed 2，原始漏洞曾允许国家资助的间谍和勒索软件团伙窃取会话密钥。

思杰于6月17日披露并发布了CVE-2025-5777的修复程序，不久后漏洞猎手开始警告，如果客户不立即打补丁，情况可能会变得非常非常糟糕。

到7月，美国网络安全和基础设施安全局及私人研究人员表示，该漏洞正在被利用并被滥用以劫持用户会话——尽管思杰仍未对这些攻击发表评论。

Moses写道：“通过对利用思杰漏洞的同一威胁的进一步调查，亚马逊威胁情报部门识别并与思科共享了一个异常负载，该负载针对思科ISE中先前未记录的端点，使用了易受攻击的反序列化逻辑。”

这个先前未记录的思科漏洞现被追踪为CVE-2025-20337，获得了最高严重等级10分的CVSS评分，因为它允许未经身份验证的远程攻击者在操作系统上以root级权限运行任意代码。

Moses写道：“这一发现特别令人担忧的是，在思科分配CVE编号或为所有受影响的思科ISE分支发布全面补丁之前，漏洞利用已经在野外发生。这种补丁间隙利用技术是复杂威胁行为者的标志，他们密切监控安全更新并快速将漏洞武器化。”

思科于6月25日首次标记该漏洞，并于7月21日更新其公告指出：“2025年7月，思科PSIRT意识到在野外尝试利用其中一些漏洞。”

在利用思科漏洞后，犯罪分子部署了一个具有高级规避能力的定制后门，专门为思科ISE环境设计。根据云巨头的威胁情报团队，该后门在内存中运行，留下“最少”的取证痕迹，并使用Java反射将自身注入运行中的线程。

该恶意软件还注册为监听器以监控Tomcat服务器上的所有HTTP请求，使用非标准Base64编码的DES加密以逃避检测，并且需要了解特定的HTTP头部才能访问——所有这些表明这不是脚本小子，而是对思科ISE和企业Java应用程序有深入了解的攻击者。

此外，入侵者能够访问思科漏洞和CitrixBleed 2作为零日漏洞，表明这是“一个资源丰富的威胁行为者，具有高级漏洞研究能力或可能获取了非公开漏洞信息。”

思科和思杰均未立即回应The Register的询问，包括谁利用了这些零日漏洞以及目的为何。当我们收到回复时，我们将更新此报道。