预认证且持久:高级APT组织如何针对Cisco ISE和Citrix网关
亚马逊安全团队做出了一个关键发现,揭示了一个复杂的高级持续性威胁(APT)活动正在积极利用两个广泛部署的企业解决方案中的零日漏洞:Cisco身份服务引擎(ISE)和Citrix NetScaler ADC/网关产品。这一发现凸显了高技能和资源丰富的攻击者构成的持续威胁。这些攻击利用先前未知的缺陷来获取和维持未经授权的访问,强调了受影响网络需要提高警惕并迅速修复的紧迫性。
漏洞和利用细节
涉及两个主要的零日(且未公开的)漏洞:
- CVE-2025-20337:Cisco身份服务引擎(ISE)(包括ISE被动身份连接器)中一个先前未记录的漏洞,允许预认证远程代码执行。
- CVE-2025-5777:也称为"CitrixBleed2",是Citrix NetScaler ADC/网关中的一个输入验证不足漏洞。
Cisco的漏洞(CVE-2025-20337)使得未经认证的远程代码执行(RCE)能够在Cisco ISE部署上实现,赋予攻击者root/管理员级别权限。特别是,APT利用了Cisco ISE中一个易受攻击的反序列化端点来执行代码。
Citrix漏洞(CVE-2025-5777)涉及NetScaler ADC/网关(配置为VPN虚拟服务器、ICA代理、CVPN、RDP代理或AAA虚拟服务器)中的输入验证不足,可能被利用来绕过认证或执行任意代码。
发现的利用技术
亚马逊的蜜罐服务(MadPot)在公开披露之前检测到了针对CVE-2025-5777的利用尝试,表明存在活跃的零日利用。同一威胁行为者使用了针对Cisco ISE的有效载荷,利用了CVE-2025-20337。
一旦漏洞被利用,攻击者部署了一个自定义的Web Shell,伪装成Cisco ISE中名为"IdentityAuditAction"的合法组件。具体细节如下:
- Web Shell完全在内存中运行,留下最少的取证磁盘痕迹。
- 它使用Java反射将自身注入到运行的线程中。
- 它注册为服务于HTTP请求的Tomcat服务器上的监听器,监控所有入站HTTP流量。
- 该Shell使用非标准Base64编码的DES加密来规避检测,并且需要特定的HTTP头部才能访问。
- 博客中的代码片段显示:读取请求体,替换字符("*" -> “a”, “$” -> “l”),使用DES/ECB/PKCS5Padding和硬编码密钥"d384922c"。
这些细节表明攻击者对企业的Java应用程序、Tomcat内部结构以及Cisco ISE的架构细节有深入理解,暗示攻击者是通过高级漏洞研究或访问非公开漏洞信息而"资源丰富"的。
关键技术要点
- 身份基础设施中的预认证RCE是最坏情况:无需凭证即可发起利用(在Cisco ISE漏洞的情况下)。
- 内存中的Web Shell允许持久化而不会留下明显的磁盘痕迹;使用Java反射和线程注入使典型的终端/基于主机的EDR检测复杂化。
- 通过Tomcat上的监听器监控所有HTTP请求,使攻击者能够完全可见/控制设备的Web界面,并可以促进横向移动或进一步利用。
- Citrix漏洞表明,访问边缘设备(VPN网关、ICA、RDP代理)仍然是攻击者旨在建立立足点的高价值目标。
- “武器化差距”(漏洞发现和补丁部署之间的间隔)正在被利用。亚马逊观察到对这些漏洞的"无差别"互联网定向攻击。
影响和利用
对于部署Cisco ISE或Citrix NetScaler/ADC/网关的组织,影响是深远的:
- 通过预认证REC入侵Cisco ISE意味着对手可以获得对管理身份、设备状态和网络访问控制的基础设施的完全root级别访问。这实质上赋予了攻击者认证/授权基础设施的"王国钥匙"。
- 由于Web Shell是内存驻留且隐蔽的,检测和修复比典型的恶意软件插入要困难得多。攻击者可以在设备中持久存在,监控流量,横向移动,并进一步提升在网络中的权限。
- 对于远程访问/VPN/边缘设备(Citrix NetScaler等),利用意味着绕过认证或执行代码,从而为内部网络打开未经授权的访问。对于将这些服务暴露给互联网的组织来说,风险尤其高。
- 即使是配置和维护得当的系统,由于攻击的预认证性质,也可能受到影响。
亚马逊的情报表明,在公开披露(零日)之前就已经发生了利用行为。他们的蜜罐在2025年5月检测到针对Citrix的CVE-2025-5777的尝试。他们进一步发现,同一攻击者已转向使用CVE-2025-20337针对Cisco ISE。
该活动被描述为"无差别"和"针对互联网"——也就是说,攻击者广泛扫描或访问,而不是仅分析选定目标。这强调威胁不仅限于高度定向的组织;任何将这些系统暴露给互联网或没有强分段的企业都面临风险。
受影响的产品
| 供应商 | 产品 | 漏洞 | 影响 | 受影响版本 |
|---|---|---|---|---|
| Cisco | 身份服务引擎 (ISE) | CVE-2025-20337 | 预认证RCE | ISE & ISE-PIC 3.3和3.4,早于3.3补丁7和3.4补丁2 |
| Citrix | NetScaler ADC / NetScaler Gateway | CVE-2025-5777 | 输入验证不足/绕过认证/潜在RCE | 14.1 <14.1-43.56; 13.1 <13.1-58.32; 13.1-FIPS/NDcPP <13.1-37.235; 12.1-FIPS <12.1-55.328 |
解决方案和缓解措施
应用补丁/升级
- 对于Cisco ISE:升级到3.3补丁7、3.4补丁2或更高版本。
- 对于Citrix NetScaler ADC/网关:升级到14.1-43.56、13.1-58.32、FIPS/NDcPP 13.1-37.235、FIPS 12.1-55.328或更高版本。
限制对管理和边缘设备的访问
- 通过强防火墙规则或仅VPN访问限制对管理界面(例如Cisco ISE、NetScaler)的入站访问。亚马逊明确建议通过防火墙或分层访问限制对特权设备端点的访问。
- 确保设备除非绝对必要,否则不直接暴露给互联网,并且访问被记录,警报已启用,流量受到监控。
使用Saner补丁管理即时修复风险
Saner补丁管理是一个持续、自动化和集成的软件,可以即时修复在野外被利用的风险。该软件支持主要操作系统如Windows、Linux和macOS,以及550多个第三方应用程序。
它还允许您设置一个安全的测试区域,以便在主要生产环境中部署补丁之前测试补丁。Saner补丁管理还支持在补丁失败或系统故障时回滚补丁的功能。
在此体验最快和最准确的补丁软件。