Дослідники Amazon Threat Intelligence зафіксували масштабну кампанію, у межах якої зловмисники експлуатували дві критичні 0‑day уразливості: CVE-2025-5777 (Citrix Bleed 2) у NetScaler ADC/Gateway та CVE-2025-20337 у Cisco Identity Services Engine (ISE). За даними пасток Amazon MadPot, атаки почалися ще до публічного розкриття деталей і виходу патчів, що суттєво збільшує «вікно ризику» для периметрових систем.
Таймлайн експлуатації 0‑day: підтвердження та наслідки
У випадку з Citrix Bleed 2 (CVE-2025-5777) Amazon спостерігала спроби експлуатації до оприлюднення технічних деталей. Уразливість пов’язана з out‑of‑bounds читанням пам’яті у NetScaler ADC/Gateway; виробник випустив виправлення наприкінці червня 2025 року. Вже на початку липня з’явилися публічні експлойти, а CISA додала CVE-2025-5777 до переліку активно експлуатованих (Known Exploited Vulnerabilities, KEV), що вказує на високий пріоритет для реагування.
Паралельно було виявлено специфічний шкідливий пейлоад проти Cisco ISE, який використовував недокументований ендпойнт і вразливу логіку десеріалізації для RCE. Технічні деталі Amazon передала Cisco; у липні 2025 року публічно підтверджено CVE-2025-20337, що дозволяє неавтентифікованому зловмиснику завантажувати файли, виконувати довільний код і отримувати root-доступ на вразливих пристроях. Після виходу патча виробник попередив про активну експлуатацію, а дослідник ZDI Боббі Гулд оприлюднив детальний технічний розбір ланцюга атаки.
Ланцюг атаки на Cisco ISE: первинний доступ і прихована стійкість
За спостереженнями Amazon, початковий доступ забезпечувався через CVE-2025-20337, що давало змогу отримати адміністративний контроль над Cisco ISE без автентифікації. Після компрометації атакувальники розгортали кастомний веб‑шелл IdentityAuditAction, маскуючи його під легітимний компонент ISE. Компонент реєструвався як HTTP listener, перехоплював запити та через механізми Java reflection вбудовувався у робочі потоки Apache Tomcat для довготривалої і малопомітної присутності.
Ухилення від виявлення: шифрування і нетиповий трафік
Для приховування активності застосовувалися криптографічні прийоми: DES‑шифрування у поєднанні з нестандартним Base64‑кодуванням і керуванням через спеціальні HTTP‑заголовки. Такий підхід мінімізує файлові артефакти та робить трафік схожим на легітимний, що ускладнює детекцію й форензик‑аналіз.
Хто стоїть за кампанією і чому це важливо
Комбінація кількох 0‑day, глибоке знання архітектури Java/Tomcat та внутрішніх механізмів Cisco ISE свідчать про висококваліфікованого актора, імовірно рівня APT. Водночас атаки мали нетаргетований характер — спостерігалися широкі сканування і компрометації різних цілей. Це може означати тестування інструментарію або підготовку інфраструктури до наступних фаз.
Ризики для периметра та пріоритетні кроки захисту
NetScaler і Cisco ISE часто працюють на мережевому периметрі й мають підвищені привілеї. Їх компрометація створює надійний плацдарм для латерального переміщення, ескалації привілеїв і подальшого розгортання бекдорів у критичних сегментах.
1) Негайне оновлення: встановіть патчі для CVE-2025-5777 і CVE-2025-20337 на всі інстанси, включно з кластерами, DR‑сайтами та стендами.
2) Мінімізація експозиції: обмежте мережевий доступ до адмін‑інтерфейсів (ACL, VPN, jump‑host, прив’язка IP/ASN), увімкніть багаторівневу фільтрацію та WAF на публічних ендпойнтах.
3) Підсилений моніторинг: відстежуйте нетипові HTTP‑заголовки, нестандартні User‑Agent, тривалі «тихі» з’єднання, підозрілі класи/артефакти у каталозі розширень ISE, нові listener’и та ін’єкції в процеси Tomcat. Перевірте періоди до офіційного розкриття.
4) Правила захисту: оновіть сигнатури IDS/IPS і кореляції SIEM, увімкніть жорсткі політики десеріалізації та валідації вхідних даних, обмежте завантаження/виконання довільних файлів.
5) Готовність до інцидентів: перевірте плани IR, забезпечте резервне копіювання і відновлення в ізоляції, застосуйте контроль цілісності і whitelisting для компонентів ISE/NetScaler.
Кейс із Citrix Bleed 2 і Cisco ISE доводить: ризики виникають ще до виходу бюлетенів. Пріоритезуйте патч‑менеджмент, мінімізуйте поверхню атаки, підсилюйте моніторинг і регулярно перевіряйте периметрові системи на ознаки компрометації. Якщо оновлення ще не застосовано, зробіть це першочергово та перегляньте моделі доступу до критичних вузлів уже сьогодні.
