Zeroday-kwetsbaarheden in Cisco ISE en Citrix-systemen uitgebuit bij cyberaanvallen
Aanvallers buiten kwetsbaarheden in Cisco Identity Service Engine (ISE) en Citrix-systemen uit, waarschuwt het threat intelligence-team van Amazon. Zij maken daarbij gebruik van meerdere beveiligingsproblemen, die zij met behulp van malware uitbuiten. Het gaat onder meer om de Citrix Bleed 2-kwetsbaarheid (CVE-2025-5777).
Amazon meldt via zijn Amazon MadPot-honeypotservice exploitatiepogingen voor de Citrix Bleed 2-kwetsbaarheid, nog voordat deze openbaar werd gemaakt. Bij verder onderzoek naar dezelfde dreiging identificeerde Amazon Threat Intelligence een verdachte payload gericht op een ongedocumenteerd eindpunt in Cisco ISE, die gebruikmaakt van kwetsbare deserialisatielogica. Deze kwetsbaarheid (CVE-2025-20337) stelde aanvallers in staat om zonder authenticatie op afstand code uit te voeren op Cisco ISE-implementaties, met als gevolg beheerdersrechten op gecompromitteerde systemen.
Op maat gemaakte backdoor
Na een succesvolle exploitatie plaatst de aanvalsgroep een aangepaste web shell, vermomd als een legitiem Cisco ISE-onderdeel met de naam IdentityAuditAction. Amazon waarschuwt dat het gaat om een op maat gemaakte backdoor, specifiek ontworpen voor Cisco ISE-omgevingen. De web shell beschikt over geavanceerde ontwijkingstechnieken. Het werkte volledig in het geheugen, laat minimale forensische sporen na, gebruikt Java-reflectie om zich in actieve threads te injecteren en registreert zich als luisteraar voor alle HTTP-verzoeken op de Tomcat-server. Ook past het DES-versleuteling toe met niet-standaard Base64-codering om detectie te ontwijken en vereist kennis van specifieke HTTP-headers voor toegang.
Uit het onderzoek blijkt dat de aanvallers zowel CVE-2025-20337 als CVE-2025-5777 als zero-days misbruiken en op dat moment willekeurig internetdoelen aanvielen. De campagne onderstreept de evoluerende tactieken van aanvallers die kritieke bedrijfsinfrastructuur aan de netwerkrand targeten. De aangepaste tooling van de aanvallers toonde diepgaande kennis van enterprise Java-applicaties, Tomcat-interne werking en de specifieke architectuur van Cisco Identity Service Engine. Toegang tot meerdere onuitgegeven zero-day-exploits wijst op een goed gefinancierde aanvalsgroep met geavanceerde mogelijkheden voor kwetsbaarheidsonderzoek of potentieel toegang tot niet-openbare kwetsbaarheidsinformatie.
Amazon noemt het zorgwekkend dat de exploitatie plaatsvond voordat Cisco een CVE-nummer had toegewezen of uitgebreide patches voor alle getroffen versies had uitgebracht. Deze werkwijze is volgens het threat intelligence-team kenmerkend voor geavanceerde aanvallers die beveiligingsupdates nauwlettend volgen en kwetsbaarheden snel inzetten als wapen.
Meer over Security
Over Wouter Hoeffnagel
