思科与Citrix零日漏洞遭活跃利用,攻击者部署Webshell
亚马逊威胁情报团队发现一项复杂的网络攻击活动,该活动利用关键企业基础设施中先前未披露的零日漏洞。高级威胁行为者正积极针对思科身份服务引擎(ISE)和Citrix系统,部署定制Webshell以获取对受感染网络的未授权管理访问权限。
| CVE ID | 受影响产品 | 严重性 | 状态 |
|---|---|---|---|
| CVE-2025-20337 | 思科身份服务引擎(ISE) | 严重 | 零日(活跃利用中) |
| CVE-2025-5777 | Citrix系统 | 严重 | 零日(活跃利用中) |
初始发现
该威胁最初通过亚马逊的MadPot蜜罐服务识别,该服务在公开披露前检测到针对Citrix Bleed Two漏洞(CVE-2025-5777)的利用尝试。这一早期检测显示,高级威胁行为者已将该漏洞武器化为野外零日漏洞。
调查期间,亚马逊威胁情报发现了一个影响思科ISE的配套零日漏洞。攻击者利用未记录端点的反序列化漏洞实现预认证远程代码执行。
CVE-2025-20337:此漏洞使攻击者无需凭据即可获得管理员级别访问权限。关键问题在于,在思科发布完整补丁之前 exploitation 就已发生,这是高级威胁行为者监控安全更新并快速开发漏洞利用程序的常用技术。
定制Webshell部署策略
成功利用漏洞后,威胁行为者部署了一个复杂的定制Webshell,伪装成名为IdentityAuditAction的合法思科ISE组件。该定制后门专为思科ISE环境设计,展示了高级规避能力。
该Webshell完全在内存中运行,留下最少的取证证据。它利用Java反射将自身注入运行中的应用程序线程,并在Tomcat服务器上注册为HTTP请求监听器。
攻击者实施了非标准DES加密和自定义Base64编码,以绕过传统检测机制。要访问该Webshell,攻击者需要了解特定HTTP头和额外的认证层,这展示了专业级的开发实践。
亚马逊调查确认,威胁行为者在无差别针对互联网暴露系统的同时,将这两个漏洞作为零日进行利用。这种模式表明对手拥有高度资源,具备高级漏洞研究能力或获取非公开漏洞信息的渠道。
攻击者的定制工具揭示了其对企业Java应用程序、Tomcat内部机制和思科ISE架构的深厚专业知识。利用多个未披露零日漏洞的能力突显了该活动的技术复杂性。
安全建议
安全团队应认识到,身份管理系统和远程访问基础设施仍然是高级威胁行为者的主要目标。尽管进行了细致配置和维护,这些关键系统仍然容易受到预认证漏洞利用的攻击。
强烈建议组织实施深度防御策略,具备强大的异常检测能力以发现异常行为。亚马逊建议实施基于防火墙的访问限制,保护特权安全设备终端和管理门户,以限制暴露面。