CitrixBleed 2与Cisco零日漏洞肆虐,身份管理基础设施面临严重威胁

文章详细分析了Citrix NetScaler的CVE-2025-5777(CitrixBleed 2)和Cisco ISE的CVE-2025-20337两个零日漏洞被同一APT组织同时利用的情况,揭示了攻击者对身份与访问管理系统的针对性攻击手法,包括内存驻留Webshell和补丁间隙利用等技术细节。

‘CitrixBleed 2’ 作为零日漏洞肆虐造成严重破坏

同一APT组织利用Citrix NetScaler(CVE-2025-5777)和Cisco Identity Service Engine(CVE-2025-20337)的关键漏洞,这表明对手对身份和访问管理系统的兴趣日益增长。

今年早些时候紧急修补了NetScaler ADC和Gateway系统中关键"CitrixBleed 2"漏洞(CVSS 9.3)以及Cisco Identity Service Engine(ISE)中标记为CVE-2025-20337(CVSS 10)的最大关键漏洞的组织,可能需要再次检查其受影响系统——以及其整体身份和访问管理系统。

Citrix于6月披露了CVE-2025-5777,研究人员Kevin Beaumont因其与原始CitrixBleed(CVE-2023-4966)的相似性迅速称其为CitrixBleed 2,后者是同一NetScaler ADC和Gateway组件中被广泛利用的信息泄露漏洞。根据Beaumont的说法,攻击者可以利用此漏洞"加入任何Netscaler会话、建立Citrix VDE桌面会话或劫持活动的Netscaler管理员会话"。尽管Citrix指出在披露和修补时没有利用证据,但Beaumont警告说,威胁行为者实际上已将其作为零日漏洞攻击了一个月。

本周,亚马逊的威胁情报团队证实了Beaumont的发现,并表示通过其蜜罐网络在Citrix于6月17日发布补丁之前也发现了CitrixBleed 2的零日利用活动,这意味着补丁发布后及时修补的系统可能已被入侵。据亚马逊称,罪魁祸首是一个未命名的高级持续性威胁(APT)。

雪上加霜的是,该团队表示随后观察到同一攻击者在7月披露和修补之前同时利用了Cisco ISE漏洞。该漏洞允许攻击者在受影响系统上获得root权限的预认证远程代码执行(RCE)能力。

“这一发现[Cisco零日]特别令人担忧的是,在Cisco分配CVE编号或跨所有受影响Cisco ISE分支发布全面补丁之前,利用活动已经在野发生,“亚马逊集成安全首席信息安全官(CISO)CJ Moses写道。“这种补丁间隙利用技术是复杂威胁行为者的标志,他们密切监控安全更新并快速武器化漏洞。”

根据Moses的说法,攻击者工具集的复杂性,加上同时利用两个不同企业软件产品中的零日漏洞,表明攻击者对Citrix和Cisco代码库具有深厚技术洞察力。

攻击者对身份与访问基础设施的兴趣日益增长

针对Cisco ISE中CVE-2025-5777和CVE-2025-20337的利用活动突显了复杂对手日益针对组织用于验证用户和管理基于角色的访问及跨端点、云应用程序和基础设施的策略执行的系统的趋势。例如,APT利用Cisco ISE漏洞部署了一个伪装成有效Cisco ISE组件IdentityAuditAction的自定义Webshell。该Webshell专为Cisco ISE环境定制,旨在让攻击者对受入侵设备进行静默持久控制。恶意软件完全在内存中运行,并集成了允许其保持隐藏并留下最少取证证据的功能。

对于企业安全团队来说,此类攻击可能特别危险,因为它们可以为攻击者提供在受害者环境中广泛且几乎无法检测的访问权限。

Horizon3.ai高级安全研究员Jimi Sebree指出,这些攻击提醒人们复杂威胁行为者如何日益利用身份和访问控制基础设施中的安全问题。他表示,针对这些高价值应用程序并不完全是新趋势,并提到了HeartBleed和先前CitrixBleed作为先例。但他表示,这些攻击确实突出了需要保持警惕安全态势的重要性,特别是在监控任何公开可访问端点方面,“因为很明显,并非所有安全问题在野利用之前都被发现和修复,“Sebree说。

ReliaQuest基于2025年第三季度威胁活动分析的新报告显示,身份相关问题成为云风险的首要来源,占所有阳性警报的44%。超过一半(52%)的身份警报涉及权限升级。ReliaQuest发现99%的云身份权限过高。

“利用这些系统为攻击者提供了显著优势,通过创建新账户实现持久性、横向网络移动以及使用过度特权账户提升对关键系统的访问,“ReliaQuest发言人告诉Dark Reading。

他表示,组织可以通过审查和消除过度特权账户并确保仅向用户授予基本权限来改善其安全态势。此外,应启用异常检测以识别异常用户行为(如来自可疑位置或时间的身份验证),并应限制对关键系统的外部访问。

补丁间隙利用

亚马逊报告强调的另一个令人担忧的趋势是"补丁间隙"利用,即攻击者在漏洞发现和全面补丁推出之间将漏洞武器化。“补丁前利用是时间限制的,因此优势转向控制暴露和检测的一方,而不是修补最快的一方,“Sectigo高级研究员Jason Soroko说。“这意味着您应将边缘和身份设备视为已经易受攻击,专注于减少爆炸半径,并准备可在几小时内激活的补偿控制。”

此外,Qualys威胁研究部门安全研究经理Mayuresh Dani认为亚马逊发现的攻击也表明有意针对Cisco ISE和Citrix设备。“通过入侵Cisco ISE安装,威胁行为者可以绕过用户控制并控制VPN/远程访问网关,“他说。结合对Citrix安装的攻击,很明显他们的主要目标是执行边界的基础设施。

Soroko主张组织应考虑隔离管理平面、限制可以访问这些服务的人员和内容,并进行高保真日志记录。他说,目标应该是快速发现异常身份验证活动和配置更改,并能够根据需要快速撤销令牌和轮换密钥和证书:“您必须将心态从以补丁为中心转变为以暴露为中心,从仅预防转变为预防加快速检测和遏制。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次