「高度な」攻撃者がCitrixBleed 2および最大深刻度のCisco Identity Services Engine(ISE)のバグをゼロデイで悪用し、カスタムマルウェアを展開したと、Amazonの最高情報セキュリティ責任者(CISO)であるCJ Moses氏が述べています。
クラウド大手のMadPotハニーポットは、重要な脆弱性が公に開示される前に、CVE-2025-5777を通じてバグのあるCitrix NetScaler ADCおよびNetScaler Gatewayデバイスへの侵入を試みる正体不明の攻撃者を検知したと、Moses氏が水曜日のセキュリティブログで述べています。
CVE-2025-5777は、NetScaler GatewayおよびAAA仮想サーバーにおけるアウトオブバウンズリードの脆弱性で、リモート攻撃者がメモリ内容を漏洩させる可能性があります。セキュリティ研究者は、国家支援のスパイやランサムウェア集団がセッションの秘密情報を盗むことを可能にした元のCitrixBleedとの類似性から、これをCitrixBleed 2と名付けました。
Citrixは6月17日にCVE-2025-5777を公開し、修正を提供しましたが、その直後からバグハンターたちは、顧客がすぐにパッチを適用しなければ本当に、非常に深刻な事態になる可能性があると警告し始めました。
7月までに、米国サイバーセキュリティ・インフラセキュリティ庁および民間研究者は、この脆弱性が悪用されているとし、ユーザーセッションの乗っ取りに利用されていると述べましたが、Citrixは依然としてこの攻撃についてコメントしていません。
「Citrixの脆弱性を悪用する同じ脅威のさらなる調査を通じて、Amazon Threat Intelligenceは、Cisco ISEのこれまで文書化されていなかったエンドポイントを標的とし、脆弱なデシリアライズロジックを利用した異常なペイロードを特定し、Ciscoと共有しました」とMoses氏は書いています。
このこれまで文書化されていなかったCiscoのバグは、現在CVE-2025-20337として追跡されており、認証されていないリモート攻撃者がルート権限でオペレーティングシステム上で任意のコードを実行できるため、最大深刻度のCVSSスコア10が付与されました。
「この発見が特に懸念されたのは、CiscoがCVE番号を割り当てたり、Cisco ISEの全ての影響を受けるブランチに包括的なパッチをリリースする前に、実際に野放しで悪用が行われていたことです」とMoses氏は書いています。「このパッチギャップ悪用手法は、セキュリティアップデートを綿密に監視し、脆弱性を素早く武器化する高度な脅威アクターの特徴です。」
Ciscoは6月25日にこの脆弱性を最初に警告し、7月21日に勧告を更新して、「2025年7月、Cisco PSIRTはこれらの脆弱性の一部が野放しで悪用されている試みを認識しました」と記載しました。
Ciscoのバグを悪用した後、犯罪者はCisco ISE環境向けに特別に設計された高度な回避能力を持つカスタムバックドアを展開しました。これはメモリ上で動作し、「最小限」のフォレンジック痕跡しか残さず、Javaリフレクションを用いて実行中のスレッドに自身を注入したと、クラウド大手の脅威インテリジェンスチームは述べています。
このマルウェアはまた、Tomcatサーバー全体のすべてのHTTPリクエストを監視するリスナーとして登録され、検知を回避するために非標準のBase64エンコードを使ったDES暗号化を利用し、アクセスには特定のHTTPヘッダーの知識が必要でした。これらすべてが、単なるスクリプトキディではなく、Cisco ISEやエンタープライズJavaアプリケーションに深い知識を持つ攻撃者であることを示していました。
さらに、侵入者がCiscoの脆弱性とCitrixBleed 2の両方をゼロデイとして利用できたことは、「高度な脆弱性研究能力、または非公開の脆弱性情報へのアクセス権を持つ非常にリソースのある脅威アクター」であることを示しています。
CiscoもCitrixも、ゼロデイを誰がどのような目的で悪用したのかなど、The Registerの問い合わせにすぐには回答しませんでした。回答があり次第、本記事を更新します。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/12/amazon_cisco_citrix_0day_exploits/
