Amazon entdeckt Angriffe, die Zero-Day-Schwachstellen in Cisco ISE und Citrix NetScaler ausnutzen

Das Threat Intelligence Team von Amazon gab am Mittwoch bekannt, dass es einen fortgeschrittenen Bedrohungsakteur entdeckt hat, der zwei noch nicht gepatchte Zero-Day-Schwachstellen in Cisco Identity Services Engine (ISE) und Citrix NetScaler ADC-Produkten als Teil einer Angriffskampagne zur Verbreitung maßgeschneiderter Malware ausnutzt.

"Diese Entdeckung unterstreicht die Tendenz der Bedrohungsakteure, sich auf kritische Netzwerkidentitäts- und Zugangskontrollinfrastrukturen zu konzentrieren - die Systeme, auf die sich Unternehmen verlassen, um Sicherheitsrichtlinien durchzusetzen und die Authentifizierung in ihren Netzwerken zu verwalten", sagte CJ Moses, CISO von Amazon Integrated Security, in einem Bericht, der mit The Hacker News geteilt wurde.

Die Angriffe wurden dank des MadPot"-Honeypot-Netzwerks von Amazon entdeckt, das bösartige Aktivitäten unter Ausnutzung der folgenden zwei Sicherheitslücken aufspürte:

• CVE-2025-5777 (auch bekannt als "Citrix Bleed 2", CVSS-Score 9.3): unzureichende Eingabevalidierung in Citrix NetScaler ADC und Gateway, die es einem Angreifer ermöglichen kann, die Authentifizierung zu umgehen.
• CVE-2025-20337 (CVSS-Score 10.0): Schwachstelle für Remotecodeausführung (RCE) ohne Authentifizierung in Cisco ISE und Cisco ISE Passive Identity Connector, die es einem Angreifer ermöglichen kann, beliebigen Code auf dem Root-Betriebssystem auszuführen.

Während beide Schwachstellen bereits aktiv "in the wild" ausgenutzt wurden, verdeutlicht Amazons Bericht die genaue Art der Angriffe, bei denen sie genutzt wurden.

Amazon entdeckte bereits im Mai 2025 Versuche, CVE-2025-5777 als Zero-Day auszunutzen, und entdeckte anschließend eine anomale Nutzlast, die auf Cisco ISE-Appliances abzielte und CVE-2025-20337 ausnutzte. Die Aktivität führte zur Bereitstellung einer benutzerdefinierten Web-Shell, die als legitime Cisco ISE-Komponente namens "IdentityAuditAction" getarnt war.

"Dabei handelte es sich nicht um Malware von der Stange, sondern um eine Backdoor, die speziell für Cisco ISE-Umgebungen entwickelt wurde", so Moses.

Die Web-Shell verfügt über Tarnfähigkeiten - sie arbeitet vollständig im Speicher, nutzt Java-Reflection, um sich in aktive Threads einzuschleusen, registriert sich als Listener, um alle HTTP-Anfragen auf dem Tomcat-Server zu überwachen, und implementiert DES-Verschlüsselung mit nicht standardmäßiger Base64-Kodierung, um die Erkennung zu umgehen.

Amazon beschrieb die Kampagne als "wahllos" und bezeichnete den Bedrohungsakteur als "hochgerüstet", da er in der Lage war, mehrere Zero-Day-Exploits auszunutzen, oder weil er über fortgeschrittene Fähigkeiten zum Auffinden von Schwachstellen oder potenziellen Zugang zu nicht-öffentlichen Informationen verfügte. Darüber hinaus spiegelt die Verwendung maßgeschneiderter Tools das Wissen des Akteurs über Java-Unternehmensanwendungen, Tomcat-Interna und Cisco ISE-Komponenten wider.

Diese Ergebnisse verdeutlichen erneut, wie Bedrohungsakteure weiterhin auf Geräte am Netzwerkrand abzielen, um in interessante Netzwerke einzudringen.

"Die Tatsache, dass diese Angriffe eine Vorauthentifizierung voraussetzen, zeigt, dass selbst gut konfigurierte und sorgfältig gewartete Systeme betroffen sein können", kommentiert Moses. "Dies unterstreicht, wie wichtig es ist, umfassende Defense-in-Depth-Strategien zu implementieren und robuste Erkennungsfunktionen zu entwickeln, die ungewöhnliche Verhaltensmuster erkennen können."

SOC