Amazon Threat Intelligence hat eine groß angelegte Kampagne identifiziert, in der zwei kritische 0‑Days parallel ausgenutzt wurden: CVE-2025-5777 (“Citrix Bleed 2”) in NetScaler ADC/Gateway sowie CVE-2025-20337 in Cisco Identity Services Engine (ISE). Telemetrie aus dem Honeypot-Netz Amazon MadPot zeigt: Angriffe begannen vor der öffentlichen Offenlegung und noch vor Verfügbarkeit von Patches – ein klares Indiz für Pre-Disclosure-Exploitation.
Timeline und Bestätigungen: Ausnutzung vor Patches, schnelle Weaponization
Für Citrix Bleed 2 (CVE-2025-5777) – eine out-of-bounds-Leseschwäche in NetScaler ADC/Gateway – wurde die Ausnutzung bereits vor Veröffentlichung technischer Details beobachtet. Citrix stellte Ende Juni 2025 Updates bereit, kurz darauf (Anfang Juli) erschienen öffentliche Exploits. Die CISA nahm die Schwachstelle in den Known Exploited Vulnerabilities-Katalog auf, was den akuten Risikocharakter für exponierte Perimetergeräte unterstreicht.
Parallel entdeckten Forscher einen ungewöhnlichen Payload für Cisco ISE, der einen bisher undokumentierten Endpoint sowie fehlerhafte Deserialisierung missbrauchte und damit Remote Code Execution ermöglichte. Amazon koordinierte die Meldung an Cisco. CVE-2025-20337 wurde im Juli 2025 offengelegt: Ein unauthentifizierter Angreifer kann Dateien hochladen, beliebigen Code ausführen und root-Rechte erlangen. Cisco warnte vor aktiver Ausnutzung; Ende Juli veröffentlichte ein ZDI-Forscher eine technische Analyse der Angriffskette.
Techniken, Taktiken und Prozeduren: Persistenz im Tomcat und getarnte Webshell
In vielen Fällen verschafften sich die Angreifer über CVE-2025-20337 zunächst Administrationsrechte auf Cisco ISE – ohne Login. Anschließend wurde ein maßgeschneiderter Webshell-Implantat namens IdentityAuditAction platziert, der sich als legitimer ISE‑Bestandteil tarnte. Der Webshell registrierte einen HTTP‑Listener, fing eingehende Requests ab und nutzte Java Reflection, um sich in Apache Tomcat-Threads einzuschleusen. Das Ergebnis: langfristige, schwer erkennbare Persistenz.
Zur Verschleierung kamen DES‑Verschlüsselung, unübliches Base64-Encoding und Steuerung über spezifische HTTP‑Header zum Einsatz. Dadurch ähnelt der Command‑and‑Control‑Traffic legitimen Anfragen, während Artefakte auf dem Dateisystem minimal bleiben – ein deutlich erschwertes Szenario für Detection und Forensik.
Einordnung der Bedrohung: Edge-Geräte unter anhaltendem Beschuss
Der kombinierte Einsatz mehrerer 0‑Days, tiefes Wissen über Java/Tomcat und interne ISE‑Mechanismen deutet auf einen hochqualifizierten Akteur (APT‑Niveau) hin. Auffällig ist zugleich der breite Scan‑ und Befallsansatz statt klassischer, eng fokussierter Zielauswahl – plausibel als Testlauf neuer Tools oder zur Vorbereitung künftiger Operationen.
Der Fall passt in ein etabliertes Muster: Internet-exponierte Perimetergeräte (ADC, VPN, SSO, NAC) sind bevorzugte Einfallstore, weil sie oft hohe Privilegien halten, selten hinter zusätzlichem Schutz liegen und Patch‑Fenster aus operativen Gründen verzögert werden. CISA‑Einträge und Hersteller-Bulletins zu beiden CVEs stützen die Einschätzung einer aktiven, realen Bedrohungslage.
Sofortmaßnahmen: Risikominderung mit Priorität
1) Patches umgehend einspielen: Aktualisieren Sie alle betroffenen NetScaler ADC/Gateway– und Cisco ISE-Instanzen für CVE-2025-5777 und CVE-2025-20337. Berücksichtigen Sie Cluster, DR‑Umgebungen, Staging und Cold‑Reserven.
2) Angriffsfläche reduzieren: Admin‑Interfaces strikt per ACL, VPN oder Jump‑Host abschotten; IP/ASN‑Bindung erwägen. Für öffentliche Endpunkte WAF und mehrstufige Traffic‑Filter aktivieren.
3) Erkennung schärfen: Achten Sie auf ungewöhnliche HTTP‑Header, atypische User‑Agent‑Ketten, lang anhaltende „stille“ Verbindungen, verdächtige Klassen/Artefakte im ISE‑Erweiterungsverzeichnis, unerwartete Listener sowie Tomcat-Thread‑Injection. Prüfen Sie Logzeiträume vor Disclosure.
4) Kontrollen härten: IDS/IPS‑Signaturen und SIEM‑Korrelationen aktualisieren; strikte Policies für Deserialisierung und Input‑Validierung erzwingen; Datei‑Upload und -Ausführung restriktiv handhaben.
5) IR‑Readiness sicherstellen: Notfallpläne testen, Backups und isolierte Wiederherstellung verifizieren, Integritätskontrollen und Allowlisting für ISE/NetScaler etablieren.
Die dokumentierte Vorab‑Ausnutzung zeigt: Das Risikofenster öffnet sich oft vor dem Patch‑Advisory. Organisationen sollten Patch‑Management beschleunigen, Edge‑Zugriffe neu bewerten und gezielte Threat‑Hunts durchführen. Wer Anzeichen einer Kompromittierung findet, sollte umgehend Incident‑Response‑Prozesse aktivieren und Hersteller‑Hinweise sowie CISA‑KEV‑Einträge als Referenz heranziehen.
