攻击者将Citrix、Cisco零日漏洞利用变成定制恶意软件地狱

根据亚马逊首席信息安全官CJ Moses的说法，一名"高级"攻击者利用CitrixBleed 2和一个最高严重等级的思科身份服务引擎(ISE)漏洞作为零日漏洞来部署定制恶意软件。

这位云巨头的MadPot蜜罐检测到未具名的恶意行为者在关键漏洞公开披露之前，试图通过CVE-2025-5777入侵有缺陷的Citrix NetScaler ADC和NetScaler Gateway设备，Moses在周三的安全博客中表示。

CVE-2025-5777是NetScaler Gateway和AAA虚拟服务器中的一个越界读取漏洞，可允许远程攻击者泄露内存内容。安全研究人员将其称为CitrixBleed 2，因为它与原始CitrixBleed相似，后者允许国家支持的黑客和勒索软件团伙窃取会话密钥。

Citrix于6月17日披露并发布了CVE-2025-5777的修复程序，不久后漏洞猎手开始警告，如果客户不立即打补丁，情况可能会变得非常、非常糟糕。

到7月，美国网络安全和基础设施安全局及私人研究人员表示，该漏洞正在被利用并被滥用以劫持用户会话——尽管Citrix仍未对这些攻击发表评论。

Moses写道：“通过对利用Citrix漏洞的同一威胁的进一步调查，亚马逊威胁情报识别并与思科共享了一个异常负载，该负载针对思科ISE中先前未记录的端点，使用了易受攻击的反序列化逻辑。”

这个先前未记录的思科漏洞现在被追踪为CVE-2025-20337，获得了最高严重等级10的CVSS评分，因为它允许未经身份验证的远程攻击者在操作系统上以root级权限运行任意代码。

Moses写道：“这一发现特别令人担忧的是，在思科分配CVE编号或跨所有受影响的思科ISE分支发布全面补丁之前，野外就已经发生了利用活动。这种补丁间隙利用技术是复杂威胁行为者的典型特征，他们密切监控安全更新并快速将漏洞武器化。”

思科于6月25日首次标记了该漏洞，并于7月21日更新了其公告，指出：“2025年7月，思科PSIRT意识到在野外尝试利用其中一些漏洞。”

在利用思科漏洞后，犯罪分子部署了一个具有高级规避能力的定制后门，专门为思科ISE环境设计。根据云巨头的威胁情报团队，它在内存中运行，留下"最小"的法医痕迹，并使用Java反射将自己注入到运行线程中。

该恶意软件还注册为监听器以监控Tomcat服务器上的所有HTTP请求，使用具有非标准Base64编码的DES加密来逃避检测，并且需要了解特定的HTTP头部才能访问——所有这些都表明这不是脚本小子，而是对思科ISE和企业Java应用程序有深入了解的攻击者。

此外，入侵者能够同时访问思科漏洞和CitrixBleed 2作为零日漏洞，表明这是"一个资源高度充足的威胁行为者，具有高级漏洞研究能力或可能访问非公开漏洞信息。"

思科和Citrix均未立即回应The Register的询问，包括谁利用了这些零日漏洞以及目的是什么。当我们收到回复时，我们将更新此报道。