Группа киберразведки Amazon раскрыла масштабную кампанию по эксплуатации ранее неизвестных уязвимостей нулевого дня в критически важной корпоративной инфраструктуре. Согласно официальному отчету, продвинутые злоумышленники целенаправленно атакуют системы Cisco Identity Service Engine (ISE) и Citrix, развертывая кастомные веб-шеллы для получения несанкционированного административного доступа к корпоративным сетям.
Детали уязвимостей
Инцидент был первоначально зафиксирован через сервис honeypot MadPot от Amazon, который обнаружил попытки эксплуатации уязвимости Citrix Bleed Two до ее публичного раскрытия. Раннее обнаружение показало, что сложные субъекты угроз уже использовали эту уязвимость как zero-day в реальных атаках. В ходе расследования специалисты Amazon Threat Intelligence выявили сопутствующую уязвимость нулевого дня в Cisco ISE, что указывает на скоординированную кампанию.
Злоумышленники воспользовались уязвимостью десериализации на недокументированной конечной точке для выполнения произвольного кода без предварительной аутентификации. CVE-2025-20337 позволяет атакующим получать доступ уровня администратора без предоставления учетных данных. Особую тревогу вызывает факт эксплуатации до выпуска официальных исправлений Cisco - тактика, характерная для высококвалифицированных злоумышленники, которые отслеживают обновления безопасности и оперативно разрабатывают эксплойты.
После успешной эксплуатации злоумышленники развертывают сложный кастомный веб-шелл, маскирующийся под легитимный компонент Cisco ISE под названием IdentityAuditAction. Этот специально созданный бекдор демонстрирует продвинутые возможности уклонения от обнаружения. Веб-шелл функционирует исключительно в оперативной памяти, оставляя минимальные следы для форензик анализа. Он использует Java отражение для внедрения в работающие потоки приложения и регистрируется как слушатель HTTP-запросов на сервере Tomcat.
Для обхода традиционных механизмов обнаружения атакующий применил нестандартное DES-шифрование с кастомным Base64-кодированием. Доступ к веб-шеллу требует знания специфичных HTTP-заголовков и дополнительного слоя аутентификации, что свидетельствует о профессиональных практиках разработки. Расследование Amazon подтвердило, что злоумышленики эксплуатировали обе уязвимости как zero-day, массово нацеливаясь на интернет-ориентированные системы.
Данная схема атак указывает на хорошо финансируемого противника с продвинутыми возможностями исследования уязвимостей либо доступом к непубличной информации о security-проблемах. Кастомные инструменты злоумышленников демонстрируют глубокую экспертизу в enterprise Java-приложениях, внутреннем устройстве Tomcat и архитектуре Cisco ISE. Способность эксплуатировать множественные неизвестные уязвимости нулевого дня подчеркивает техническую изощренность кампании.
Специалистам информационной безопасности следует учитывать, что системы управления идентификацией и инфраструктура удаленного доступа остаются первостепенными целями для продвинутым субъектам угроз. Несмотря на тщательную конфигурацию и обслуживание, эти критически важные системы остаются уязвимыми к эксплойтам с предварительной аутентификацией. Организациям настоятельно рекомендуется реализовать стратегию defense-in-depth с возможностями обнаружения аномалий для выявления необычного поведения.
Эксперты Amazon рекомендуют внедрить ограничения доступа на основе межсетевого экрана к привилегированным конечным точкам безопаности и порталам управления для минимизации последствий. Кроме того, своевременное применение патчей и постоянный мониторинг подозрительной активности должны стать обязательными элементами security-политики. Важно отметить, что традиционные сигнатурные методы обнаружения могут оказаться неэффективными против столь продвинутых атак, что требует применения поведенческого анализа и машинного обучения.
Особую озабоченность вызывает долгосрочная закрепления, которую обеспечивают развернутые веб-шеллы, позволяя злоумышленникам сохранять доступ даже после применения исправлений. Следовательно, организациям, использующим уязвимые версии Cisco ISE и Citrix, рекомендуется провести тщательную проверку своих систем на предмет компрометации. В частности, следует обратить внимание на необычные процессы, подозрительные сетевые соединения и модификации критических системных файлов.
Данный инцидент наглядно демонстрирует эволюцию тактик киберпреступников, которые все чаще переходят от массовых атак к целенаправленным кампаниям против корпоративной инфраструктуры. Умение оперативно обнаруживать и нейтрализовывать такие сложные атаки становится критически важным навыком для современных команд безопаности. Поэтому необходимо непрерывно совершенствовать процессы мониторинга и реагирования на инциденты, сочетая автоматизированные решения с экспертным анализом.
В конечном счете, проактивный подход к кибербезопасности, включающий регулярную оценку уязвимостей, сегментацию сетей и обучение персонала, остается наиболее эффективной стратегией противодействия сложным угрозам. Современный ландшафт киберугроз требует от организаций постоянной бдительности и готовности к быстрому реагированию, поскольку время между обнаружением уязвимости и ее активной эксплуатацией неуклонно сокращается.
Ссылки
- https://aws.amazon.com/blogs/security/amazon-discovers-apt-exploiting-cisco-and-citrix-zero-days/
- https://www.cve.org/CVERecord?id=CVE-2025-20337
- https://www.cve.org/CVERecord?id=CVE-2025-5777
