El equipo de inteligencia de amenazas de Amazon reveló el miércoles que observó actores de amenazas sofisticados que explotaban dos fallas de seguridad de día cero vigentes en ese momento en los productos Cisco Identity Service Engine (ISE) y Citrix NetScaler ADC como parte de un ataque destinado a entregar malware personalizado.
«Este descubrimiento destaca una tendencia en el enfoque de los actores de amenazas en la infraestructura crítica de control de acceso a la red e identidad, los sistemas en los que confían las empresas para hacer cumplir las políticas de seguridad y gestionar la autenticación en las redes», dijo CJ Moses, CISO de Amazon Integrated Security, en un informe compartido con The Hacker News.
Este ataque fue alertado por la red honeypot MadPot y aprovechó dos vulnerabilidades:
CVE-2025-5777 o Citrix Bleed 2 (Puntuación CVSS: 9.3): vulnerabilidad de validación de entrada insuficiente en Citrix NetScaler ADC y Gateway que podría ser aprovechada por un atacante para evitar la autenticación. (Solucionado por Citrix en junio de 2025) CVE-2025-20337 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código no autenticado en Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC) podría permitir que un atacante remoto ejecute código arbitrario como raíz en el sistema operativo subyacente. (Solucionado por Cisco en julio de 2025)
Ambas fallas han sido explotadas en la naturaleza, pero el informe de Amazon revela la naturaleza exacta de los ataques que las aprovechan.
El gigante tecnológico dijo que detectó un intento de explotación dirigido a CVE-2025-5777 como un día cero y una investigación adicional sobre la amenaza descubrió una carga útil anómala que convirtió a CVE-2025-20337 en un arma y apuntó a dispositivos Cisco ISE. Esta actividad supuestamente culminó con la introducción de un shell web personalizado que se hace pasar por un componente legítimo de Cisco ISE llamado IdentityAuditAction.
«Esto no era un malware típico disponible en el mercado, sino una puerta trasera personalizada diseñada específicamente para el entorno Cisco ISE», dijo Moses.
El web shell tiene la capacidad de operar bajo el radar, operando completamente en la memoria y utilizando la reflexión de Java para inyectarse en un hilo en ejecución. También se registra como oyente para monitorear todas las solicitudes HTTP en el servidor Tomcat e implementa cifrado DES con codificación Base64 no estándar para evitar la detección.
Amazon describe la campaña como indiscriminada y caracteriza a los atacantes como «sofisticados e ingeniosos» debido a su capacidad para aprovechar múltiples exploits de día cero, ya que tienen capacidades avanzadas de investigación de vulnerabilidades o pueden tener acceso a información no pública sobre vulnerabilidades. Además, el uso de herramientas personalizadas refleja el conocimiento del atacante sobre las aplicaciones Java empresariales, la estructura interna de Tomcat y el funcionamiento interno de Cisco ISE.
Nuestros hallazgos reiteran que los atacantes continúan apuntando a dispositivos de borde de red para infiltrarse en las redes objetivo, por lo que es importante que las organizaciones restrinjan el acceso a portales de administración privilegiados a través de firewalls y acceso por niveles.
«La naturaleza previamente autenticada de estos exploits deja claro que incluso los sistemas bien configurados y mantenidos meticulosamente pueden verse afectados», afirmó Moses. «Esto resalta la importancia de implementar una estrategia integral de defensa en profundidad y desarrollar capacidades de detección sólidas que puedan identificar patrones de comportamiento anómalos».
Source link
