El equipo de inteligencia de amenazas de Amazon reveló el miércoles que observó un actor de amenazas liberal que explotaba dos fallas de seguridad de día cero en los productos Cisco Identity Service Engine (ISE) y Citrix NetScaler ADC como parte de ataques diseñados para entregar malware personalizado.
“Este descubrimiento destaca la tendencia de los actores de amenazas a centrarse en la infraestructura crítica de control de entrada a la red e identidad: los sistemas en los que confían las empresas para hacer cumplir las políticas de seguridad y mandar la autenticación en sus redes”, dijo CJ Moses, CISO de Amazon Integrated Security, en un noticia compartido con The Hacker News.
Los ataques fueron señalados por su red de honeypot MadPot, y la actividad utilizó como arsenal las siguientes dos vulnerabilidades:
- CVE-2025-5777 o Citrix Bleed 2 (puntuación CVSS: 9,3): una vulnerabilidad de garra de entrada insuficiente en Citrix NetScaler ADC y Gateway que podría ser aprovechada por un atacante para evitar la autenticación. (Solucionado por Citrix en junio de 2025)
- CVE-2025-20337 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código no autenticado en Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC) que podría permitir a un atacante remoto ejecutar código despótico en el sistema operante subyacente como root. (Solucionado por Cisco en julio de 2025)
Si perfectamente ambas deficiencias han sido objeto de explotación activa en la naturaleza, el noticia de Amazon arroja luz sobre la naturaleza exacta de los ataques que las aprovechan.
El titán tecnológico dijo que detectó intentos de explotación dirigidos a CVE-2025-5777 como un día cero, y que una investigación adicional de la amenaza condujo al descubrimiento de una carga útil anómala dirigida a los dispositivos Cisco ISE al convertir CVE-2025-20337 en un arsenal. Se dice que la actividad culminó con la implementación de un shell web personalizado disfrazado de un componente oficial de Cisco ISE llamado IdentityAuditAction.
“Esto no era un malware distintivo arreglado en el mercado, sino más perfectamente una puerta trasera personalizada diseñada específicamente para entornos Cisco ISE”, dijo Moses.
El web shell viene equipado con capacidades para suceder desapercibido, operando completamente en la memoria y utilizando la advertencia de Java para inyectarse en los subprocesos en ejecución. Además se registra como asistente para monitorear todas las solicitudes HTTP en el servidor Tomcat e implementa oculto DES con codificación Base64 no normalizado para evitar la detección.
Amazon describió la campaña como indiscriminada, caracterizando al actor de la amenaza como “con muchos posibles” conveniente a su capacidad para beneficiarse múltiples exploits de día cero, ya sea al poseer capacidades avanzadas de investigación de vulnerabilidades o al tener entrada potencial a información no pública sobre vulnerabilidades. Encima de eso, el uso de herramientas personalizadas refleja el conocimiento del adversario de las aplicaciones Java empresariales, los aspectos internos de Tomcat y el funcionamiento interno de Cisco ISE.
Los hallazgos ilustran una vez más cómo los actores de amenazas continúan apuntando a los dispositivos de borde de red para violar las redes de interés, lo que hace crucial que las organizaciones limiten el entrada, a través de firewalls o entrada por capas, a portales de sucursal privilegiados.
“La naturaleza de autenticación previa de estos exploits revela que incluso los sistemas perfectamente configurados y mantenidos meticulosamente pueden estar afectados”, dijo Moses. “Esto subraya la importancia de implementar estrategias integrales de defensa en profundidad y desarrollar capacidades de detección sólidas que puedan identificar patrones de comportamiento inusuales”.
