Amazon Threat Intelligence ha documentado una campaña a gran escala que abusa de dos 0-day críticos: CVE-2025-5777, conocido como Citrix Bleed 2 en NetScaler ADC/Gateway, y CVE-2025-20337 en Cisco Identity Services Engine (ISE). Sus honeypots Amazon MadPot observaron intentos de explotación antes de la divulgación pública y de la publicación de parches, un patrón que aumenta sustancialmente el riesgo para los dispositivos de perímetro.
Cronología y validaciones: explotación previa al parche
En el caso de Citrix Bleed 2 (CVE-2025-5777), se trata de una lectura de memoria out-of-bounds en NetScaler ADC/Gateway. Citrix emitió correcciones a finales de junio de 2025; a principios de julio surgieron exploits públicos y CISA agregó la vulnerabilidad a su catálogo KEV, confirmando explotación activa y la necesidad de parcheo prioritario.
En paralelo, Amazon detectó un payload inusual dirigido a Cisco ISE que aprovechaba un endpoint no documentado y una deserialización insegura para lograr remote code execution sin autenticación. Tras compartir los detalles técnicos con Cisco, la compañía publicó correcciones en julio de 2025 para CVE-2025-20337, advirtiendo de explotación en curso. A finales de ese mes, un análisis técnico detallado de la cadena de ataque fue divulgado por un investigador de ZDI, reforzando los hallazgos.
Cadena de ataque: del acceso inicial a la persistencia
Los atacantes utilizaron primero CVE-2025-20337 para obtener control administrativo de Cisco ISE sin credenciales. Posteriormente desplegaron un webshell personalizado, IdentityAuditAction, camuflado como componente legítimo del sistema. Un webshell es un módulo web malicioso que permite ejecutar comandos en el servidor; en este caso, se registraba como HTTP listener y, mediante Java reflection, inyectaba su lógica en hilos de Apache Tomcat para lograr persistencia furtiva.
Para evadir detección, el implante combinaba cifrado DES con un Base64 no estándar y activación mediante cabeceras HTTP específicas. Este conjunto reduce la huella en disco y hace que el tráfico aparente ser legítimo, complicando la telemetría y la respuesta forense.
Atribución y alcance operativo
El uso coordinado de múltiples 0-day, el conocimiento profundo de Java/Tomcat y de los flujos internos de Cisco ISE sugiere a un actor con capacidades de nivel APT. Sin embargo, los objetivos fueron amplios y poco selectivos, un indicio de campaña no dirigida orientada a pruebas de herramientas o a la preparación de infraestructura para fases posteriores.
Riesgos y mitigación prioritaria para NetScaler y Cisco ISE
1) Aplicar parches sin demora
Instalar las actualizaciones para CVE-2025-5777 y CVE-2025-20337 en producción, clústeres, nodos de reserva y entornos de preproducción. Verificar versiones de firmware/imagen y reinicios requeridos.
2) Reducir la superficie expuesta
Limitar el acceso a interfaces de administración (ACL, VPN, jump hosts, vinculación por IP/ASN), segmentar la red y colocar WAF frente a endpoints públicos de NetScaler e ISE.
3) Refuerzo de monitorización y caza de amenazas
Buscar headers HTTP anómalos, cadenas inusuales de User-Agent, conexiones persistentes y silenciosas, clases o artefactos sospechosos en directorios de extensiones de ISE, listeners no estándar e inyecciones en procesos de Tomcat. Revisar eventos desde semanas previas a la divulgación.
4) Controles preventivos y detección
Actualizar firmas de IDS/IPS y reglas de correlación en SIEM; aplicar políticas estrictas de deserialización y validación de entrada; restringir la carga/ejecución de archivos arbitrarios; endurecer cabeceras y perfiles de tráfico permitidos.
5) Preparación de respuesta
Probar los planes de IR, garantizar copias de seguridad verificadas y restauración aislada, activar control de integridad y listas blancas para componentes de ISE/NetScaler, y documentar indicadores de compromiso para equipos SOC.
El principal aprendizaje es que el “ventanal de riesgo” se abre antes del boletín. Priorice el patch management proactivo, reduzca la exposición de sistemas perimetrales y mejore la observabilidad. Si aún no ha aplicado los parches, hágalo hoy y ejecute una evaluación de compromiso enfocada en webshells en Tomcat, endpoints no documentados y patrones de cifrado atípicos en el tráfico.
