Эксперты Amazon Threat Intelligence выявили масштабную кампанию с эксплуатацией двух критических 0‑day: CVE-2025-5777 (Citrix Bleed 2) в NetScaler ADC/Gateway и CVE-2025-20337 в Cisco Identity Services Engine (ISE). По данным сервиса ловушек Amazon MadPot, злоумышленники начали атаковать эти цели задолго до публичного раскрытия уязвимостей и выпуска исправлений производителями.
Предраскрытая эксплуатация: таймлайн и подтверждения
Amazon зафиксировала попытки использования Citrix Bleed 2 еще до публикации деталей. Уязвимость связана с out‑of‑bounds чтением памяти в NetScaler ADC и Gateway; Citrix выпустила патч в конце июня 2025 года. Уже в начале июля появились публичные эксплойты, а CISA добавила CVE-2025-5777 в перечень активно эксплуатируемых уязвимостей (KEV), что указывает на высокий риск для периметров организаций.
Параллельно исследователи обнаружили необычный вредоносный пейлоад, нацеленный на Cisco ISE. Он задействовал ранее недокументированный эндпоинт и уязвимую логику десериализации, что позволяло достичь удаленного выполнения кода. Amazon передала технические детали инженерам Cisco. Ошибка CVE-2025-20337 была раскрыта в июле 2025 года: она дает неаутентифицированному атакующему возможность загружать файлы, выполнять произвольный код и получать root-доступ на уязвимых устройствах. После выхода патча Cisco предупредила об активной эксплуатации, а в конце июля исследователь ZDI Бобби Гулд опубликовал подробный технический разбор цепочки атаки.
Техника атаки: от первичного доступа к устойчивости
По наблюдениям Amazon, злоумышленники сначала использовали CVE-2025-20337 для получения административного контроля над Cisco ISE без аутентификации. Затем они разворачивали кастомный веб-шелл IdentityAuditAction, маскируя его под легитимный компонент ISE. Такой веб-шелл регистрировался как HTTP‑listener и перехватывал входящие запросы, а через механизмы Java reflection внедрялся в потоки сервера Tomcat для долговременной скрытности.
Для сокрытия артефактов применялись криптографические ухищрения: DES‑шифрование в сочетании с нестандартным Base64‑кодированием и доступ по специфическим HTTP‑заголовкам. Эти приемы значительно усложняют обнаружение и форензику, поскольку трафик выглядит легитимным, а файловый след минимален.
Кто стоит за атаками и почему это важно
Комбинация множественных 0‑day, глубокое понимание архитектуры Java/Tomcat и внутренних механизмов Cisco ISE указывает на участие высококвалифицированного актера, вероятно APT‑уровня. В то же время кампания носила нетаргетированный характер — атакующие сканировали и компрометировали широкий спектр целей, что не совсем типично для «точечных» операций. Вероятно, злоумышленники проводили испытания инструментов или готовили инфраструктуру к дальнейшей фазе.
Риски для инфраструктуры и рекомендации по защите
Периметровые устройства уровня NetScaler и ISE часто располагаются на границе сети и обладают высокими привилегиями, что делает их привлекательной целью. Их компрометация дает злоумышленнику надежный плацдарм для латерального перемещения и эскалации привилегий.
Приоритетные меры реагирования
1) Немедленно установить обновления для CVE-2025-5777 и CVE-2025-20337 на всех затронутых системах. Убедиться в полноте покрытия, включая резервы, кластеры и стендовые среды.
2) Минимизировать экспозицию: ограничить доступ к интерфейсам администрирования NetScaler и Cisco ISE по сети (ACL, VPN, jump‑host, привязка IP/ASN), включить многоуровневую фильтрацию трафика и WAF для публичных эндпоинтов.
3) Усилить мониторинг: искать аномальные HTTP‑заголовки, необычные цепочки User‑Agent, длительные «тихие» соединения, подозрительные классы/артефакты в каталоге расширений ISE, нестандартные listener’ы и инжекции в процессы Tomcat. Сопоставить события с периодом до официального раскрытия уязвимостей.
4) Правила защиты: актуализировать сигнатуры IDS/IPS и корреляционные правила SIEM под попытки эксплуатации, включить жесткие политики десериализации и валидации входных данных, ограничить загрузку/исполнение произвольных файлов.
5) Готовность к инцидентам: проверить планы IR, обеспечить резервное копирование и изолированное восстановление, применять контроль целостности и whitelisting для компонентов ISE/NetScaler.
Случай с Citrix Bleed 2 и Cisco ISE подчеркивает: «окно риска» начинается не в день публикации бюллетеня, а задолго до него. Проактивное патч‑менеджмент, минимизация поверхности атаки и пристальный мониторинг — ключ к снижению вероятности компрометации. Если обновления еще не применены, сделайте это в приоритетном порядке и пересмотрите модели доступа к пограничным системам уже сейчас.
