概要

Amazonの脅威インテリジェンスチームは、重要なエンタープライズインフラストラクチャにおける未公開のゼロデイ脆弱性を悪用する高度なサイバーキャンペーンを発見しました。高度な脅威アクターは、Cisco Identity Service Engine (ISE) およびCitrixシステムを積極的に標的とし、カスタムウェブシェルを展開して、侵害されたネットワークへの不正な管理者アクセスを獲得しています。

初期の発見

この脅威は、AmazonのMadPotハニーポットサービスを通じて最初に特定されました。このサービスは、公開前にCitrix Bleed Twoの脆弱性 (CVE-2025-5777) に対する悪用試行を検出しました。この早期検出により、高度な脅威アクターがすでにこの脆弱性をゼロデイとして実世界で武器化していたことが明らかになりました。

調査中に、Amazon脅威インテリジェンスは、Cisco ISEに影響を与える別のゼロデイ脆弱性を発見しました。攻撃者は、文書化されていないエンドポイント上のデシリアライゼーション脆弱性を悪用して、認証前のリモートコード実行を達成しました。このCVE-2025-20337は、攻撃者に資格情報なしで管理者レベルのアクセスを許可するものです。Ciscoが包括的なパッチをリリースする前に悪用が発生していたことが重大な懸念事項であり、これはセキュリティアップデートを監視し、迅速にエクスプロイトを開発する高度な脅威アクターが一般的に用いる手法です。

カスタムウェブシェルの展開戦略

悪用が成功した後、脅威アクターは、IdentityAuditActionと呼ばれる正当なCisco ISEコンポーネントを装った洗練されたカスタムウェブシェルを展開しました。このカスタム構築されたバックドアは、Cisco ISE環境向けに明示的に設計されており、高度な回避能力を示しています。

• ウェブシェルは完全にメモリ内で動作し、フォレンジック証拠を最小限に抑えました。
• Javaリフレクションを利用して、実行中のアプリケーションスレッドに自身を注入しました。
• Tomcatサーバー上でHTTPリクエストリスナーとして登録されました。
• 攻撃者は、従来の検出メカニズムを回避するために、カスタムBase64エンコーディングを伴う非標準のDES暗号化を実装しました。
• ウェブシェルにアクセスするには、攻撃者は特定のHTTPヘッダーと追加の認証レイヤーの知識が必要であり、これはプロフェッショナルグレードの開発実践を示しています。

影響と推奨事項

Amazonの調査により、脅威アクターがインターネットに公開されているシステムを無差別に標的としながら、両方の脆弱性をゼロデイとして悪用していたことが確認されました。このパターンは、高度な脆弱性研究能力、または非公開の脆弱性情報へのアクセスを持つ、高度なリソースを持つ敵対者を示唆しています。攻撃者のカスタムツールは、エンタープライズJavaアプリケーション、Tomcat内部、およびCisco ISEアーキテクチャに関する深い専門知識を明らかにしています。複数の未公開のゼロデイ脆弱性を悪用する能力は、キャンペーンの技術的な洗練度を強調しています。

セキュリティチームは、ID管理システムとリモートアクセスインフラストラクチャが、高度な脅威アクターにとって主要な標的であり続けることを認識すべきです。綿密な構成とメンテナンスにもかかわらず、これらの重要なシステムは認証前のエクスプロイトに対して脆弱なままです。組織は、異常な動作を検出するために、堅牢な異常検出機能を備えた多層防御戦略を実装することを強く推奨されます。Amazonは、露出を制限するために、特権セキュリティアプライアンスのエンドポイントと管理ポータルへのファイアウォールベースのアクセス制限を実装することを推奨しています。

元記事: https://gbhackers.com/active-exploitation-of-cisco-and-citrix-0-day-vulnerabilities/