Основы Интернет - технологий.

Эксперты Amazon Threat Intelligence обнаружили атаки с использованием двух критических 0-day — CVE-2025-5777 (Citrix Bleed 2) в NetScaler ADC/Gateway и CVE-2025-20337 в Cisco Identity Service Engine (ISE). Оказалось, что злоумышленники эксплуатировали эти ошибки еще до того, как производители опубликовали информацию о них и выпустили патчи. Информация об атаках была получена с honeypot-сервиса Amazon MadPot, который фиксирует эксплуатацию уязвимостей в реальном времени. Исследователи обнаружили попытки использования Citrix Bleed 2 задолго до публичного раскрытия информации об этой проблеме. В ходе дальнейшего расследования команда наткнулась на необычный пейлоад, который эксплуатировал ранее недокументированный эндпоинт в Cisco ISE через уязвимую логику десериализации. Специалисты Amazon сообщили о своей находке инженерам Cisco. Напомним, что CVE-2025-5777 (Citrix Bleed 2) связана с out-of-bounds чтением памяти в NetScaler ADC и Gateway. Citrix выпустила исправление для этого бага конце июня 2025 года. А уже в начале июля для проблемы появились публичные эксплоиты, и уязвимость была внесена CISA в списки активно используемых хакерам. В свою очередь, CVE-2025-20337 в Cisco ISE была раскрыта в июле 2025 года. Уязвимость связана с тем, что неаутентифицированный атакующий имеет возможность загружать вредоносные файлы, выполнять произвольный код и получать root-доступ на уязвимых устройствах. Вскоре после выхода патча Cisco предупредила об активной эксплуатации проблемы злоумышленниками, а в конце июля специалист Trend Zero Day Initiative Бобби Гулд (Bobby Gould) опубликовал развернутую техническую статью об этом баге с полной цепочкой эксплуатации. Однако теперь исследователи Amazon утверждают, что обе уязвимости использовались в APT-атаках еще до публикации бюллетеней безопасности Cisco и Citrix. По данным экспертов, сначала атакующие использовали CVE-2025-20337 для получения административного доступа к эндпоинтам Cisco ISE без аутентификации. Затем они разворачивали кастомный веб-шелл IdentityAuditAction, замаскированный под легитимный компонент ISE. Шелл регистрировался как HTTP-listener, перехватывая все запросы, а также использовал Java reflection для инъекции в потоки Tomcat-сервера. Для обеспечения скрытности применялось DES-шифрование с нестандартным base64-кодированием. Доступ требовал знания специфических HTTP-заголовков, а цифровых следов такая атака практически не оставляла. Специалисты считают, что использование множественных 0-day, глубокое знание архитектуры Java/Tomcat и Cisco ISE свидетельствуют о том, что за атаками стояла продвинутая и, вероятно, «правительственная» хак-группа. Однако связать эту активность с конкретной APT исследователям не удалось. Отмечается, что при этом атаки не были таргетированными. По сути, злоумышленники атаковали всех подряд. Это не характерно для высококвалифицированных группировок, которые обычно фокусируются на узком круге целей. Предполагается, что атакующие могли тестировать свои возможности или собирали данные перед основной вредоносной кампанией. Amazon настоятельно рекомендует немедленно установить патчи для CVE-2025-5777 и CVE-2025-20337 (если это не было сделано ранее), а также ограничить доступ к граничным сетевым устройствам с помощью брандмауэров и многоуровневой защиты.