El equipo de inteligencia de amenazas de Amazon reveló el miércoles que observó un actor de amenazas avanzado que explotaba dos fallas de seguridad de día cero en los productos Cisco Identity Service Engine (ISE) y Citrix NetScaler ADC como parte de ataques diseñados para entregar malware personalizado.
«Este descubrimiento destaca la tendencia de los actores de amenazas a centrarse en la infraestructura crítica de control de acceso a la red e identidad: los sistemas en los que confían las empresas para hacer cumplir las políticas de seguridad y gestionar la autenticación en sus redes», dijo CJ Moses, CISO de Amazon Integrated Security, en un informe compartido con The Hacker News.
Los ataques fueron señalados por su red de honeypot MadPot, y la actividad utilizó como arma las siguientes dos vulnerabilidades:
- CVE-2025-5777 o Citrix Bleed 2 (puntuación CVSS: 9,3): una vulnerabilidad de validación de entrada insuficiente en Citrix NetScaler ADC y Gateway que podría ser aprovechada por un atacante para evitar la autenticación. (Solucionado por Citrix en junio de 2025)
- CVE-2025-20337 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código no autenticado en Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC) que podría permitir a un atacante remoto ejecutar código arbitrario en el sistema operativo subyacente como root. (Solucionado por Cisco en julio de 2025)
Si bien ambas deficiencias han sido objeto de explotación activa en la naturaleza, el informe de Amazon arroja luz sobre la naturaleza exacta de los ataques que las aprovechan.
El gigante tecnológico dijo que detectó intentos de explotación dirigidos a CVE-2025-5777 como un día cero, y que una investigación adicional de la amenaza condujo al descubrimiento de una carga útil anómala dirigida a los dispositivos Cisco ISE al convertir CVE-2025-20337 en un arma. Se dice que la actividad culminó con la implementación de un shell web personalizado disfrazado de un componente legítimo de Cisco ISE llamado IdentityAuditAction.
«Esto no era un malware típico disponible en el mercado, sino más bien una puerta trasera personalizada diseñada específicamente para entornos Cisco ISE», dijo Moses.
El web shell viene equipado con capacidades para pasar desapercibido, operando completamente en la memoria y utilizando la reflexión de Java para inyectarse en los subprocesos en ejecución. También se registra como oyente para monitorear todas las solicitudes HTTP en el servidor Tomcat e implementa cifrado DES con codificación Base64 no estándar para evadir la detección.
Amazon describió la campaña como indiscriminada, caracterizando al actor de la amenaza como «con muchos recursos» debido a su capacidad para aprovechar múltiples exploits de día cero, ya sea al poseer capacidades avanzadas de investigación de vulnerabilidades o al tener acceso potencial a información no pública sobre vulnerabilidades. Además de eso, el uso de herramientas personalizadas refleja el conocimiento del adversario de las aplicaciones Java empresariales, los aspectos internos de Tomcat y el funcionamiento interno de Cisco ISE.
Los hallazgos ilustran una vez más cómo los actores de amenazas continúan apuntando a los dispositivos de borde de red para violar las redes de interés, lo que hace crucial que las organizaciones limiten el acceso, a través de firewalls o acceso por capas, a portales de administración privilegiados.
«La naturaleza de autenticación previa de estos exploits revela que incluso los sistemas bien configurados y mantenidos meticulosamente pueden verse afectados», dijo Moses. «Esto subraya la importancia de implementar estrategias integrales de defensa en profundidad y desarrollar capacidades de detección sólidas que puedan identificar patrones de comportamiento inusuales».