Bedrohungsakteure nutzten eine Zero-Day-Schwachstelle mit maximalem Schweregrad in Cisco Identity Service Engine (ISE) und Citrix-Systemen, um benutzerdefinierte Backdoor-Malware bereitzustellen. Das Threat-Intelligence-Team von Amazon identifiziert eine unzureichende Validierung der Sicherheitslücke bei Benutzereingaben in Cisco ISE-Bereitstellungen. Dies ermöglichte die Remote-Codeausführung vor der Authentifizierung auf kompromittierten Endpunkten und ermöglichte Zugriff auf Administratorebene. Der Fehler, verfolgt als CVE-2025-20337hat einen Schweregrad von 10/10 (kritisch). Forscher entdeckten diesen Einbruch bei der Untersuchung einer Citrix Bleed Two-Schwachstelle, die auch als Zero-Day-Angriff ausgenutzt wurde. Laut der NVD-Seite„Eine Schwachstelle in einer bestimmten API von Cisco ISE und Cisco ISE-PIC könnte es einem nicht authentifizierten Remote-Angreifer ermöglichen, beliebigen Code auf dem zugrunde liegenden Betriebssystem als Root auszuführen.“ In der Empfehlung heißt es: „Der Angreifer benötigt keine gültigen Anmeldeinformationen, um diese Schwachstelle auszunutzen“, was darauf hindeutet, dass Exploits durch die Übermittlung einer manipulierten API-Anfrage erfolgen. Angreifer stellten eine benutzerdefinierte Web-Shell mit dem Namen IdentityAuditAction bereit, die als legitime Cisco ISE-Komponente getarnt war. Amazon erklärte, dass diese Malware nicht von der Stange sei, sondern speziell für Cisco ISE-Umgebungen entwickelt worden sei. Die Web-Shell arbeitete vollständig im Arbeitsspeicher, nutzte Java-Reflektion zur Injektion in laufende Threads und registrierte sich als Listener, um HTTP-Anfragen auf dem Tomcat-Server zu überwachen. Außerdem wurde die DES-Verschlüsselung mit einer nicht standardmäßigen Base64-Kodierung implementiert. Greifen Sie auf das erforderliche Wissen über bestimmte HTTP-Header zu. Amazon ordnete die Angriffe keinem bestimmten Bedrohungsakteur zu und gab an, dass die Angriffe nicht gezielt erfolgten, sondern wahllos gegen zahlreiche Organisationen eingesetzt wurden.
