- 22,243
- 46
- 8 Ноя 2022
Нападки на инфраструктуру аутентификации становятся всё более скрытными и синхронными.
Amazon сообщила о сложной кибератаке, в которой злоумышленники одновременно использовали 2 уязвимости нулевого дня — в продуктах Citrix и Cisco. По данным главы службы информационной безопасности компании СиДжея Мозеса, неизвестная группировка получила доступ к системам, эксплуатируя дефекты ещё до их публичного раскрытия, и внедрила специально созданное вредоносное ПО.
Инцидент зафиксировала сеть ловушек Amazon MadPot. Она обнаружила попытки проникновения через уязвимость CVE-2025-5777 в Citrix NetScaler ADC и NetScaler Gateway — ошибку чтения за пределами допустимой области памяти. Из-за неё атакующий мог удалённо считывать содержимое памяти устройства и получать чувствительные данные сеансов. Уязвимость получила неофициальное название CitrixBleed 2 — по аналогии с предыдущим багом, через который хакеры крали токены авторизации у пользователей.
Citrix опубликовала исправление 17 июня, однако, как показали дальнейшие наблюдения, эксплойт активно использовался ещё до выхода патча. К началу июля Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) и независимые исследователи подтвердили эксплуатацию уязвимости, которая позволяла перехватывать пользовательские сессии.
Пока специалисты Amazon анализировали атаку на Citrix, они обнаружили другой вредоносный компонент, направленный уже на Cisco Identity Services Engine . Как выяснилось, тот использовал неописанный ранее сетевой эндпоинт, уязвимый из-за ошибки десериализации данных. Информация была передана Cisco, и позже компании присвоили этому багу идентификатор CVE-2025-20337.
Эта вторая уязвимость получила максимальный балл опасности — 10 по шкале CVSS. Она позволяла удалённым, неавторизованным злоумышленникам выполнять произвольный код на сервере с правами администратора (root). По словам Мозеса , особенно тревожным было то, что атаки начались до того, как Cisco официально зарегистрировала уязвимость и выпустила комплексные обновления. Подобная «эксплуатация в окне между патчами» считается типичным приёмом хорошо подготовленных акторов, которые отслеживают изменения в коде и мгновенно превращают найденные ошибки в инструменты атаки.
После проникновения в Cisco ISE хакеры установили кастомный бэкдор , разработанный специально под эту платформу. Он действовал исключительно в оперативной памяти, практически не оставляя следов, и внедрялся в активные процессы Java при помощи механизма рефлексии. Вредонос регистрировался в системе как HTTP-прослушиватель, перехватывая весь трафик Tomcat-сервера. Для скрытности использовались DES-шифрование и нестандартное кодирование Base64, а доступ к управлению требовал знания определённых HTTP-заголовков. По совокупности признаков специалисты пришли к выводу, что атака исходила не от случайных хакеров, а от группы, глубоко знакомой с архитектурой Cisco ISE и корпоративными Java-приложениями.
Факт одновременного владения эксплойтами для CitrixBleed 2 и CVE-2025-20337 говорит о высоком уровне подготовки злоумышленников. Такие возможности могут быть только у команды с собственными исследователями уязвимостей либо доступом к непубличной информации о них. Ни Cisco, ни Citrix пока не раскрыли, кто именно стоял за атаками и с какими целями проводилась операция.
По оценке команды Amazon Threat Intelligence, этот инцидент - хороший пример всё более опасной тенденции: крупные APT-группы используют несколько уязвимостей одновременно, чтобы проникать в системы критических сервисов — тех, что отвечают за аутентификацию, контроль доступа и сетевую политику в корпоративных инфраструктурах.
Amazon сообщила о сложной кибератаке, в которой злоумышленники одновременно использовали 2 уязвимости нулевого дня — в продуктах Citrix и Cisco. По данным главы службы информационной безопасности компании СиДжея Мозеса, неизвестная группировка получила доступ к системам, эксплуатируя дефекты ещё до их публичного раскрытия, и внедрила специально созданное вредоносное ПО.
Инцидент зафиксировала сеть ловушек Amazon MadPot. Она обнаружила попытки проникновения через уязвимость CVE-2025-5777 в Citrix NetScaler ADC и NetScaler Gateway — ошибку чтения за пределами допустимой области памяти. Из-за неё атакующий мог удалённо считывать содержимое памяти устройства и получать чувствительные данные сеансов. Уязвимость получила неофициальное название CitrixBleed 2 — по аналогии с предыдущим багом, через который хакеры крали токены авторизации у пользователей.
Citrix опубликовала исправление 17 июня, однако, как показали дальнейшие наблюдения, эксплойт активно использовался ещё до выхода патча. К началу июля Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) и независимые исследователи подтвердили эксплуатацию уязвимости, которая позволяла перехватывать пользовательские сессии.
Пока специалисты Amazon анализировали атаку на Citrix, они обнаружили другой вредоносный компонент, направленный уже на Cisco Identity Services Engine . Как выяснилось, тот использовал неописанный ранее сетевой эндпоинт, уязвимый из-за ошибки десериализации данных. Информация была передана Cisco, и позже компании присвоили этому багу идентификатор CVE-2025-20337.
Эта вторая уязвимость получила максимальный балл опасности — 10 по шкале CVSS. Она позволяла удалённым, неавторизованным злоумышленникам выполнять произвольный код на сервере с правами администратора (root). По словам Мозеса , особенно тревожным было то, что атаки начались до того, как Cisco официально зарегистрировала уязвимость и выпустила комплексные обновления. Подобная «эксплуатация в окне между патчами» считается типичным приёмом хорошо подготовленных акторов, которые отслеживают изменения в коде и мгновенно превращают найденные ошибки в инструменты атаки.
После проникновения в Cisco ISE хакеры установили кастомный бэкдор , разработанный специально под эту платформу. Он действовал исключительно в оперативной памяти, практически не оставляя следов, и внедрялся в активные процессы Java при помощи механизма рефлексии. Вредонос регистрировался в системе как HTTP-прослушиватель, перехватывая весь трафик Tomcat-сервера. Для скрытности использовались DES-шифрование и нестандартное кодирование Base64, а доступ к управлению требовал знания определённых HTTP-заголовков. По совокупности признаков специалисты пришли к выводу, что атака исходила не от случайных хакеров, а от группы, глубоко знакомой с архитектурой Cisco ISE и корпоративными Java-приложениями.
Факт одновременного владения эксплойтами для CitrixBleed 2 и CVE-2025-20337 говорит о высоком уровне подготовки злоумышленников. Такие возможности могут быть только у команды с собственными исследователями уязвимостей либо доступом к непубличной информации о них. Ни Cisco, ни Citrix пока не раскрыли, кто именно стоял за атаками и с какими целями проводилась операция.
По оценке команды Amazon Threat Intelligence, этот инцидент - хороший пример всё более опасной тенденции: крупные APT-группы используют несколько уязвимостей одновременно, чтобы проникать в системы критических сервисов — тех, что отвечают за аутентификацию, контроль доступа и сетевую политику в корпоративных инфраструктурах.
- Источник новости
- www.securitylab.ru
