黑客积极利用思科和Citrix零日漏洞部署网页后门

一个高级黑客组织正在积极利用思科身份服务引擎（ISE）和Citrix系统中的零日漏洞。这些在真实环境中发现的攻击使黑客能够部署定制网页后门，并深度渗透企业网络。

调查结果显示，攻击者正针对管理用户登录和网络控制的关键系统，使企业面临高风险。

思科和Citrix零日漏洞被利用

该攻击由亚马逊的MadPot蜜罐服务发现，该工具旨在诱捕和研究网络威胁。在公众知晓之前，它就捕获了利用被称为"Citrix Bleed Two"（CVE-2025-5777）的Citrix漏洞的尝试。

这个零日漏洞允许攻击者未经授权远程执行代码。通过深入调查，亚马逊专家将同一黑客组织与思科ISE中一个隐藏漏洞（现称为CVE-2025-20337）的利用关联起来。

该漏洞利用有缺陷的数据处理（即"反序列化"）让外部人员在登录前执行代码。结果是什么？对受影响系统的完全管理员控制。

令人担忧的是攻击时机。黑客在思科发布CVE编号或所有ISE版本的完整补丁之前，就已经在面向互联网的实时设置中利用这些漏洞。

这种"补丁间隙"策略显示了攻击者的精明：他们密切监控更新，并在防御薄弱时快速出击。亚马逊与思科共享了详细信息，帮助加速修复，但损害已经发生。

一旦进入系统，黑客就会植入一个伪装成正常思科组件"IdentityAuditAction"的隐蔽定制网页后门。与基本恶意软件不同，这个后门专为思科ISE构建。

它完全在计算机内存中运行，避免使用取证团队容易发现的文件。通过使用Java反射等技巧，它钩入系统的Web服务器（Tomcat）来监视所有流量。为了隐藏命令，它使用DES和特殊的Base64变体进行加密，并检查特殊的Web头部来激活。

代码分析揭示了他们的狡猾。在一个例程中，它从Web请求中解码隐藏指令，将"*“等字符替换为"a”，并使用密钥（“d384922c”）解锁有效负载。这使得黑客能够运行任意代码而不留下痕迹，增加了检测难度。

亚马逊的分析显示，该组织在互联网上广泛传播这些漏洞利用，而不仅仅是针对特定目标。他们的工具显示出对Java应用程序、Tomcat和思科设置的深入了解，表明这是一个资金充足的团队，拥有内部漏洞信息或顶级研究能力。

这符合一个日益增长的模式：攻击者针对保护整个网络的边缘防御，如身份管理器和远程网关。

对安全专业人员来说，这是一个警示。即使是最先进的系统也可能遭受登录前漏洞利用的攻击。亚马逊敦促团队采取分层防御：使用防火墙阻止对管理门户的访问，监控异常的Web流量，并建立对异常行为的检测。快速打补丁是关键，但假设已发生违规并规划响应同样重要。

这次攻击活动提醒我们，思科和Citrix等关键工具中的零日漏洞可能打开混乱之门。随着黑客不断进化，企业必须保持警惕。