概要

Amazonのセキュリティ研究者によると、高度な持続的脅威（APT）アクターが、Cisco Identity Service Engine (ISE) および Citrix のゼロデイ脆弱性を標的としていることが明らかになりました。この脅威アクターは、カスタムマルウェアを使用し、複数の脆弱性を悪用する能力を示しています。

標的となった脆弱性

• CitrixBleed 2 (CVE-2025-5777): AmazonのMadPotハニーポットサービスは、この脆弱性が公開される前に悪用活動を検知していました。Citrixは、この問題に対処するため、6月にガイダンスをリリースしています。
• Cisco ISEの未公開脆弱性 (CVE-2025-20337): 追加調査により、Cisco ISEのこれまで文書化されていなかったエンドポイントを標的とする「異常なペイロード」が発見されました。この脆弱性は、脆弱なデシリアライゼーションロジックを利用しており、攻撃者は認証前リモートコード実行 (RCE) を達成し、侵害されたシステムへの管理者レベルのアクセスを可能にします。

攻撃の詳細

攻撃者は、IdentityAuditActionという正規のCisco ISEコンポーネントに見せかけたカスタムウェブシェルを展開しました。Amazonの研究者によると、このマルウェアは既製品ではなく、Cisco ISE環境を specifically 標的とするように設計されたバックドアでした。

対策

Ciscoは、これらの問題に対処するためのソフトウェアアップデートを既にリリースしています。組織は、最新のセキュリティパッチを適用し、システムの監視を強化することが推奨されます。

元記事: https://www.cybersecuritydive.com/news/threat-actor-zero-day-flaws-cisco-ise-citrix/805281/