威胁参与者利用思科身份服务引擎 (ISE) 和 Citrix 系统中最严重的零日漏洞来部署自定义后门恶意软件。亚马逊的威胁情报团队 已确定 对思科 ISE 部署中用户提供的输入漏洞的验证不充分。这允许在受感染的端点上执行预身份验证远程代码,从而提供管理员级别的访问权限。该错误,追踪为 CVE-2025-20337,严重程度得分为 10/10 (批判的)。研究人员在调查 Citrix Bleed Two 漏洞(也被用作零日漏洞)时发现了这种入侵。根据 NVD页面,“思科 ISE 和思科 ISE-PIC 的特定 API 中的漏洞可能允许未经身份验证的远程攻击者以 root 身份在底层操作系统上执行任意代码。”该通报指出,“攻击者不需要任何有效凭据即可利用此漏洞”,这表明攻击是通过提交精心设计的 API 请求来实现的。攻击者部署了一个自定义 Web shell,伪装成名为 IdentityAuditAction 的合法 Cisco ISE 组件。亚马逊解释说,该恶意软件不是现成的,而是为思科 ISE 环境定制的。 Web shell 完全在内存中运行,使用 Java 反射注入正在运行的线程,并注册为侦听器以监视 Tomcat 服务器上的 HTTP 请求。它还使用非标准 Base64 编码实现了 DES 加密。访问特定 HTTP 标头所需的知识。亚马逊没有将这些攻击归咎于任何特定的威胁行为者,并表示这些攻击不是有针对性的,而是不分青红皂白地针对众多组织。
