Amazon Threat Intelligenceチームによると、攻撃者はCiscoおよびCitrixアプライアンスの脆弱性が公表される前にこれを悪用し、コアとなるアイデンティティ基盤に対してカスタムのインメモリツールを展開した。
Amazon Threat Intelligenceチームは、CitrixシステムおよびCiscoのIdentity Service Engine(ISE)の脆弱性を悪用した高度持続的脅威(APT)キャンペーンを公表した。このキャンペーンにより、脆弱性が一般に知られる前の段階で、ハッカーが重要なアイデンティティ基盤に侵入することが可能になっていた。
Amazonの調査によると、攻撃者は公開APIにおける「不十分な入力検証」を悪用し、ネイティブなCisco ISEコンポーネントに偽装したカスタムWebシェルを注入した。このWebシェルは完全にメモリ上で動作し、Javaリフレクションと標準外のデコード処理を活用して検知を回避していた。
キャンペーンで悪用されたもう1つの欠陥は「Citrix Bleed 2」と名付けられ、Citrix NetScaler ADCおよびNetScaler Gatewayデバイスに影響し、同様の入力検証の問題を通じてメモリのオーバーリードを可能にしていた。
「この発見は、脅威アクターが企業がセキュリティポリシーの適用やネットワーク全体の認証管理を依存している、重要なアイデンティティおよびネットワークアクセス制御インフラに焦点を当てるというトレンドを浮き彫りにしています」と、Amazon Integrated SecurityのCISOであるCJ Moses氏はブログ投稿で述べている。
Citrixは、今年初めに脆弱性を公開しパッチを提供した際、それらがゼロデイとして悪用されていることを認識していなかった。一方でCisco ISEの脆弱性については、同社およびCISAが、すでに実環境での悪用試行が確認されているとして警告を発していた。
Amazonのハニーポットサービス「Madpot」は、Citrixの脆弱性(CVE-2025-5777)が公表される前に、その悪用試行を初めて検知した。これは、脆弱性がすでに実環境で兵器化されていたことを示唆している。さらなる調査により、Cisco ISEの未公開エンドポイントを狙う異常なペイロードが明らかになり、脆弱なデシリアライゼーションロジックを悪用して、認証前のリモートコード実行(CVE-2025-20337)を達成していたことが判明した。
「この発見が特に懸念されるのは、CiscoがCVE番号を割り当てたり、影響を受けるすべてのCisco ISEブランチ向けに包括的なパッチをリリースしたりする前に、すでに実環境で悪用が行われていた点です」とMoses氏は述べている。「このようなパッチギャップを突く悪用手法は、セキュリティアップデートを綿密に監視し、脆弱性を迅速に兵器化する高度な脅威アクターの典型です。」
Amazonは、なぜ数カ月前のゼロデイ悪用に関する情報を今になって共有しているのかについて、CSOからの問い合わせにすぐには回答しなかった。
アクセスを獲得した後、攻撃者はCisco ISEの「IdentityAuditAction」コンポーネントに偽装した特注のWebシェルを展開した。これは完全にメモリ上で動作し、Tomcatサーバー内でHTTPリスナーとして登録され、非標準のBase-64エンコードを伴うDES暗号化を使用し、アクセスには特定のHTTPヘッダーを必要としていた。
企業防御への示唆
この攻撃は、アイデンティティ管理およびネットワークアクセスシステムが本質的に安全であるという前提に疑問を投げかけるものだ。ブログでは、これらの攻撃が認証前に成立する性質を持つことから、適切に構成され、綿密に運用されているシステムであっても影響を受け得ることが明らかになったと指摘している。
「このキャンペーンは、ネットワークエッジにある重要な企業インフラを標的とする脅威アクターの戦術が進化していることを浮き彫りにしました」とMoses氏は述べる。「脅威アクターのカスタムツールは、エンタープライズJavaアプリケーション、Tomcatの内部構造、およびCisco Identity Service Engine特有のアーキテクチャ上の特徴について、深い理解を持っていることを示していました。」
Amazonは、組織に対し多層防御の採用を推奨している。これには、特権的なセキュリティアプライアンスのエンドポイント(ファイアウォール、プロキシ、アクセスゲートウェイ)へのアクセス制限、異常なインメモリ活動の監視、そしてアイデンティティシステムをインターネット向けサーバーと同等の厳格な監視対象となる高リスクゾーンとして扱うことが含まれる。
今回の公表は、攻撃者がリモートアクセスおよびアイデンティティインフラへと標的を移しているという、より広範なパターンの一部でもある。この傾向は、Citrix ADCおよびGatewayアプライアンスに対する認証情報収集型の悪用が大規模な侵入を引き起こした2023年末のCitrix Bleedの波の中で、初めて大きく注目された。
それ以降、同様のキャンペーンがさらに出現しており、その中には、Scattered Spiderによる、Cレベル幹部のアイデンティティインフラ(Microsoft Entra ID/Active Directory)へのアクセスを可能にしたヘルプデスクハックを伴うものも含まれている。
