- CVE-2025-20337は、Cisco ISEシステムにおいて認証不要のリモートコード実行を可能にします
- 攻撃者は高度な回避および暗号化技術を備えたカスタムのインメモリWebシェルを展開しました
- エクスプロイトは広範かつ無差別に行われ、特定の業界や攻撃者への帰属はありませんでした
専門家によると、「高度な」脅威アクターがCisco Identity Service Engine(ISE)およびCitrixシステムの重大なゼロデイ脆弱性を利用し、カスタムバックドアマルウェアを展開していると主張しています。
Amazonの脅威インテリジェンスチームは、最近、Cisco ISEの導入環境においてユーザー入力の検証が不十分な脆弱性を発見し、認証前のリモートコード実行を達成、システムへの管理者レベルのアクセスを可能にしたと述べています。
研究者らは、Citrix Bleed Two脆弱性の調査中にこの侵入を発見しました。この脆弱性もゼロデイとして悪用されていました。新たに発見されたバグはCVE-2025-20337として追跡されており、重大度スコアは10/10(クリティカル)とされています。
カスタムフォントにマルウェアを隠す
「Cisco ISEおよびCisco ISE-PICの特定のAPIに存在する脆弱性により、認証されていないリモートの攻撃者が基盤となるオペレーティングシステム上でroot権限で任意のコードを実行できる可能性があります」とNVDのページは説明しています。
「この脆弱性を悪用するために、攻撃者は有効な認証情報を必要としません」とアドバイザリは付け加え、攻撃者が細工されたAPIリクエストを送信することで悪用できると強調しています。
この脆弱性は、IdentityAuditActionという正規のCisco ISEコンポーネントを装ったカスタムWebシェルの展開に利用されました。Amazonはさらに、このマルウェアが一般的なものや市販のものではなく、Cisco ISE環境専用に設計されたカスタムビルドであると説明しています。
このWebシェルは高度な回避機能を備えており、完全にメモリ上で動作し、Javaリフレクションを使用して実行中のスレッドに自身を注入し、Tomcatサーバー全体のすべてのHTTPリクエストを監視するリスナーとして登録されていました。また、標準外のBase64エンコードを用いたDES暗号化を実装し、アクセスには特定のHTTPヘッダーの知識が必要でした。
Amazonは攻撃を特定の脅威アクターに帰属させておらず、特定の業界や組織を標的としたものではないと述べています。代わりに、無差別にできるだけ多くの組織を対象として使用されていました。
