Het Threat Intelligence-team van Amazon maakte woensdag bekend dat het een geavanceerde bedreigingsacteur heeft waargenomen die misbruik maakt van twee toenmalige zero-day beveiligingsfouten in Cisco Identity Service Engine (ISE) en Citrix NetScaler ADC-producten als onderdeel van aanvallen die zijn ontworpen om aangepaste malware af te leveren.
“Deze ontdekking onderstreept de trend dat bedreigingsactoren zich richten op kritieke identiteits- en netwerktoegangscontrole-infrastructuur – de systemen waarop bedrijven vertrouwen om het beveiligingsbeleid af te dwingen en de authenticatie binnen hun netwerken te beheren”, zegt CJ Moses, CISO van Amazon Integrated Security, in een rapport gedeeld met The Hacker News.
De aanvallen werden gemarkeerd door het MadPot-honingpotnetwerk, waarbij de activiteit de volgende twee kwetsbaarheden bewapende:
- CVE-2025-5777 of Citrix Bleed 2 (CVSS-score: 9,3) – Een kwetsbaarheid voor onvoldoende invoervalidatie in Citrix NetScaler ADC en Gateway die door een aanvaller kan worden misbruikt om authenticatie te omzeilen. (Opgelost door Citrix in juni 2025)
- CVE-2025-20337 (CVSS-score: 10,0) – Een niet-geverifieerde kwetsbaarheid voor het uitvoeren van externe code in Cisco Identity Services Engine (ISE) en Cisco ISE Passive Identity Connector (ISE-PIC) waardoor een externe aanvaller willekeurige code als root op het onderliggende besturingssysteem kan uitvoeren. (Opgelost door Cisco in juli 2025)
Hoewel beide tekortkomingen in het wild actief zijn uitgebuit, werpt het rapport van Amazon licht op de exacte aard van de aanvallen die hiervan gebruik maken.
De technologiegigant zei dat het exploitatiepogingen heeft gedetecteerd die gericht waren op CVE-2025-5777 als een zero-day, en dat verder onderzoek naar de dreiging leidde tot de ontdekking van een abnormale lading gericht op Cisco ISE-apparaten door CVE-2025-20337 te bewapenen. De activiteit zou hebben geleid tot de implementatie van een aangepaste webshell, vermomd als een legitiem Cisco ISE-onderdeel, genaamd IdentityAuditAction.
“Dit was geen typische kant-en-klare malware, maar eerder een op maat gemaakte achterdeur die speciaal was ontworpen voor Cisco ISE-omgevingen”, aldus Moses.
De webshell is uitgerust met mogelijkheden om onder de radar te vliegen, volledig in het geheugen te werken en Java-reflectie te gebruiken om zichzelf in lopende threads te injecteren. Het registreert zich ook als luisteraar om alle HTTP-verzoeken op de Tomcat-server te monitoren en implementeert DES-codering met niet-standaard Base64-codering om detectie te omzeilen.
Amazon beschreef de campagne als willekeurig en typeerde de bedreigingsactoren als “zeer beschikkend” vanwege zijn vermogen om meerdere zero-day-exploits te benutten, hetzij door over geavanceerde onderzoeksmogelijkheden voor kwetsbaarheden te beschikken, hetzij door potentiële toegang te hebben tot niet-openbare informatie over kwetsbaarheden. Bovendien weerspiegelt het gebruik van op maat gemaakte tools de kennis van de tegenstander van zakelijke Java-applicaties, de interne onderdelen van Tomcat en de interne werking van Cisco ISE.
De bevindingen illustreren eens te meer hoe bedreigingsactoren zich blijven richten op netwerkrandapparatuur om netwerken van belang te doorbreken, waardoor het van cruciaal belang is dat organisaties de toegang, via firewalls of gelaagde toegang, tot geprivilegieerde beheerportals beperken.
“Het pre-authenticatiekarakter van deze exploits laat zien dat zelfs goed geconfigureerde en zorgvuldig onderhouden systemen kunnen worden aangetast”, aldus Moses. “Dit onderstreept het belang van het implementeren van uitgebreide, diepgaande strategieën en het ontwikkelen van robuuste detectiemogelijkheden die ongebruikelijke gedragspatronen kunnen identificeren.”
