Citrix Bleed en Cisco ISE-kwetsbaarheid als zero-day uitgebuit in geavanceerde aanvalscampagne

In dit artikel:

Amazon's threat-intelligence team meldt dat aanvallers twee kwetsbaarheden hebben misbruikt voordat die publiek werden gemaakt: Citrix Bleed 2 (CVE-2025-5777) en een zero-day in Cisco Identity Services Engine (CVE-2025-20337). Exploitpogingen werden door Amazons MadPot-honeypot al waargenomen vóór de officiële bekendmaking. Citrix dichtte Bleed 2 voor NetScaler ADC en Gateway op 17 juni 2025; eerdere onderzoekssignalen wezen al op actieve uitbuiting weken vóór die patch.

De Cisco-kwetsbaarheid betreft een ongedocumenteerde endpoint met kwetsbare deserialisatielogica, waardoor onbevoegde aanvallers remote code execution kunnen uitvoeren en beheerrechten kunnen bemachtigen. Aanvallers plaatsten een op maat gemaakte, geavanceerde backdoor — een webshell die zich voordoet als IdentityAuditAction — die vrijwel geheel in geheugen opereert en daardoor weinig forensische sporen achterlaat. Technieken omvatten Java-reflectie om in actieve threads te injecteren, monitoring van HTTP-verzoeken op Tomcat en gebruik van DES met niet-standaard Base64-codering.

Amazon benadrukt dat de gebruikte tools en methoden duiden op diepgaande kennis van enterprise Java, Tomcat en de ISE-architectuur en vermoedt dat de groep goed gefinancierd is, gezien het gelijktijdig inzetten van meerdere zero-days. Organisaties met NetScaler- of Cisco ISE-installaties wordt dringend aangeraden patches en mitigaties te controleren.