高度な脅威アクターが、NetScaler ADCおよびGatewayにおける重大な脆弱性「Citrix Bleed 2」(CVE-2025-5777)と、Cisco Identity Service Engine(ISE)に影響するCVE-2025-20337をゼロデイとして悪用し、カスタムマルウェアを展開しました。
Amazonの脅威インテリジェンスチームは、「MadPot」ハニーポットデータを分析する中で、これら2つのセキュリティ問題が公に開示されパッチが提供される前に、ハッカーによって悪用されていたことを突き止めました。
「Amazon MadPotハニーポットサービスは、Citrix Bleed Twoの脆弱性(CVE-2025-5777)に対する悪用試行を、公開前に検知しました。これは、脅威アクターがこの脆弱性をゼロデイとして悪用していたことを示しています」とAmazonは説明しています。
「同じCitrixの脆弱性を悪用する脅威をさらに調査する中で、Amazon Threat Intelligenceは、Cisco ISEにおける未公開のエンドポイントを標的とする異常なペイロードを特定し、Ciscoと共有しました。このペイロードは、脆弱なデシリアライゼーションロジックを利用していました。」
Citrix Bleed 2は、NetScaler ADCおよびGatewayにおけるアウトオブバウンズメモリ読み取りの問題であり、ベンダーは6月下旬に修正を公開しました。
ベンダーは、この欠陥が攻撃で悪用されていたことを確認するまでにより長い期間を要しましたが、複数のサードパーティから攻撃で使用されているとの報告があったにもかかわらず、7月初旬にはエクスプロイトが公開され、CISAはこの脆弱性を悪用されているものとしてタグ付けしました。
ISEの脆弱性(CVE-2025-20337)は最大深刻度スコアを持ち、7月17日に公開されました。その際Ciscoは、この脆弱性が悪用されると、認証されていない攻撃者が悪意あるファイルを保存したり、任意コードを実行したり、脆弱なデバイス上でroot権限を取得したりできると警告しました。
5日も経たないうちに、ベンダーはCVE-2025-20337が実際に悪用されているとして警告を再発しました。7月28日には、研究者Bobby Gouldが、エクスプロイトチェーンを含む技術的詳細をまとめたレポートを公開しました。
BleepingComputerと共有されたレポートの中で、Amazonは、CiscoとCitrixが最初のセキュリティ情報を公開する前に、両方の脆弱性がAPT攻撃で悪用されていたと述べています。
ハッカーはCVE-2025-20337を利用してCisco ISEエンドポイントへの事前認証管理者アクセスを取得し、正規のISEコンポーネントに偽装した「IdentityAuditAction」という名称のカスタムWebシェルを展開しました。
このWebシェルはHTTPリスナーとして登録され、すべてのリクエストを傍受し、Javaリフレクションを用いてTomcatサーバースレッドにインジェクションを行いました。
また、ステルス性のために非標準のBase64エンコードを伴うDES暗号化を使用し、アクセスには特定のHTTPヘッダーの知識を必要とし、フォレンジック上の痕跡を最小限に抑えていました。
複数の未公開ゼロデイ脆弱性の使用、Java/Tomcatの内部構造およびCisco ISEアーキテクチャに関する高度な知識などから、非常に豊富なリソースを持つ高度な脅威アクターであることが示唆されます。しかし、Amazonはこの活動を既知の脅威グループのいずれにも帰属させることはできませんでした。
しかし興味深いことに、標的は無差別的であるように見え、この種の脅威アクターが通常行う、極めて限定的な範囲の標的型作戦とは一致しませんでした。
CVE-2025-5777およびCVE-2025-20337に対する利用可能なセキュリティアップデートを適用し、ファイアウォールや多層防御によってエッジネットワーク機器へのアクセスを制限することが推奨されます。
