ハッカーはカスタムマルウェアを使用し、複数の脆弱性にアクセスできる能力を示しているとAmazonの研究者が警告しています。
高度な持続的脅威(APT)アクターがCisco Identity Service EngineおよびCitrixのゼロデイ脆弱性を標的にしていると、水曜日に公開されたブログ記事でAmazonのセキュリティ研究者が述べています。
Amazonは以前、MadPotハニーポットサービスを通じて、CVE-2025-5777として追跡されているCitrixBleed 2脆弱性を標的とした脅威活動を検出したと述べています。この検出は、公開前に悪用活動が行われていたことを示していました。Citrixは6月にガイダンスを公開し、CitrixBleed 2への対応を行いました。
追加調査により、Cisco ISEのこれまで文書化されていなかったエンドポイントを標的とした「異常なペイロード」が発見されました。これは脆弱なデシリアライズロジックを利用していたと、Amazon Integrated SecurityのCISOであるCJ Moses氏がブログで述べています。
この脆弱性はCVE-2025-20337として追跡されており、攻撃者がCisco ISEで認証前のリモートコード実行を達成できるようにします。これにより、侵害されたシステムへの管理者レベルのアクセスが可能となります。
ハッカーは、IdentityAuditActionという正規のCisco ISEコンポーネントに偽装したカスタムWebシェルを展開しました。Amazonの研究者によると、このマルウェアは市販品ではなく、Cisco ISE環境を標的とするために特別に設計されたバックドアでした。
Ciscoは以前、問題に対処するためのソフトウェアアップデートを公開しています。
翻訳元: https://www.cybersecuritydive.com/news/threat-actor-zero-day-flaws-cisco-ise-citrix/805281/
