Amazonによると、脅威アクターがパッチ公開前の数週間、CitrixとCiscoの2つの重大な脆弱性をゼロデイとして悪用していたことが確認されました。
Citrixの脆弱性(CVE-2025-5777、CVSSスコア9.3)は、NetScaler ADCおよびNetScaler Gatewayにおける不十分な入力検証により、メモリの範囲外読み取りが発生する問題です。
この脆弱性は6月17日に修正され、その直後、セキュリティ研究者のKevin BeaumontによってCitrixBleed 2と名付けられました。彼は、攻撃者が多要素認証を回避できたCitrixBleedバグ(CVE-2023-4966)と比較しました。
約1週間後、CitrixBleed 2を標的とした最初の悪用の試みが確認され、さらに数日後には技術的な詳細やエクスプロイトが公開されました。7月中旬には、CISAがこの脆弱性が連邦機関にとって容認できないリスクであると警告しました。
現在、Amazonは、自社のハニーポットサービスがこの脆弱性の公表前に悪用の試みを検知していたと述べています。同社によると、APTが「ゼロデイとしてこの脆弱性を悪用していた」とのことです。
Amazonの調査では、CVE-2025-20337(CVSSスコア10/10)というCisco Identity Service Engine(ISE)の脆弱性についてもゼロデイ悪用が明らかになりました。この脆弱性は7月16日に公表されました。
ISEおよびISE Passive Identity Connector(ISE-PIC)の特定のAPIに影響し、認証されていない攻撃者が基盤となるオペレーティングシステム上でroot権限で任意のコードを実行できてしまいます。
脆弱性の公開直後、Ciscoは、脅威アクターが実際にこの脆弱性を悪用している証拠があると警告しました。同じAPIのもう一つの重大なバグ(CVE-2025-20281)も同時に悪用されていました。
広告。スクロールして読み続けてください。
Amazonの新たな報告によると、Cisco ISEの脆弱性の実際の悪用は、包括的なパッチがリリースされる前に始まっていました。
APTは正規のISEコンポーネントを装ったカスタムWebシェルを展開しており、このWebシェルはメモリ上で動作し、Javaリフレクションを利用して実行中のスレッドに自身を注入していました。
このマルウェアはISE環境を特に標的としたバックドアで、Tomcatサーバー上のすべてのHTTPリクエストを監視し、非標準のBase64エンコードを用いたDES暗号化で検知を回避でき、特定のHTTPヘッダー経由でのみアクセス可能でした。
「脅威アクターのカスタムツールは、エンタープライズJavaアプリケーション、Tomcat内部構造、Cisco Identity Service Engineの特有のアーキテクチャ的特徴について深い理解があることを示していました」とAmazonは述べています。
同社は、攻撃は高度なリソースを持つ脅威アクターによって組織的に行われており、未公開のゼロデイにアクセスできたのは、高度な脆弱性調査能力によるものか、非公開の脆弱性情報へのアクセスがあったためだと考えています。
SecurityWeekが攻撃を特定の脅威アクターに結びつけられたかどうか尋ねたところ、Amazonは帰属に関する情報は共有できないと回答しました。
翻訳元: https://www.securityweek.com/cisco-ise-citrixbleed-2-vulnerabilities-exploited-as-zero-days-amazon/
