Amazon scopre attacchi che sfruttavano vulnerabilità zero-day in Cisco ISE e Citrix NetScaler

Il team di threat intelligence di Amazon ha reso noto mercoledì di aver rilevato un attore minaccioso avanzato che stava sfruttando due vulnerabilità zero-day non ancora pubblicate nei prodotti Cisco Identity Services Engine (ISE) e Citrix NetScaler ADC, come parte di una campagna di attacco finalizzata alla distribuzione di malware su misura. 

“Questa scoperta evidenzia la tendenza degli attori della minaccia a concentrarsi sulle infrastrutture critiche di identità e controllo dell’accesso di rete – i sistemi su cui le aziende si affidano per imporre criteri di sicurezza e gestire l’autenticazione all’interno delle loro reti”, ha dichiarato CJ Moses, CISO di Amazon Integrated Security, in un rapporto condiviso con The Hacker News. 

Gli attacchi sono stati rilevati grazie alla rete honeypot “MadPot” di Amazon, che ha individuato attività malevole sfruttando le seguenti due vulnerabilità: 

• CVE‑2025‑5777 (alias “Citrix Bleed 2”, punteggio CVSS 9.3): vulnerabilità di validazione dell’input insufficiente in Citrix NetScaler ADC e Gateway che può consentire a un attaccante di bypassare l’autenticazione. 
• CVE‑2025‑20337 (punteggio CVSS 10.0): vulnerabilità di esecuzione di codice remoto (RCE) senza autenticazione in Cisco ISE e Cisco ISE Passive Identity Connector che può permettere a un attaccante remoto di eseguire codice arbitrario sul sistema operativo alla radice (root). 

Pur essendo entrambe vulnerabilità già sfruttate attivamente “in the wild”, il rapporto di Amazon chiarisce la natura esatta degli attacchi che le hanno impiegate.

Amazon ha rilevato tentativi di sfruttamento della CVE-2025-5777 come zero-day già a maggio 2025, e successivamente ha scoperto un payload anomalo indirizzato a appliance Cisco ISE, che sfruttava la CVE-2025-20337. L’attività ha portato al deploy di una web-shell personalizzata, camuffata come un componente legittimo di Cisco ISE denominato “IdentityAuditAction”. 

“La cosa non riguardava un malware ‘di serie’, ma una backdoor costruita su misura specificamente per ambienti Cisco ISE”, ha affermato Moses. 

La web-shell è dotata di capacità di occultamento — opera interamente in memoria, utilizza la reflection di Java per iniettarsi in thread attivi, si registra come listener per monitorare tutte le richieste HTTP sul server Tomcat e implementa cifratura DES con codifica Base64 non standard per eludere i rilevamenti. 

Amazon ha descritto la campagna come “indiscriminata”, caratterizzando l’attore della minaccia come «fortemente dotato di risorse», in virtù della sua capacità di sfruttare più exploit zero-day, o perché possedeva avanzate capacità di ricerca di vulnerabilità o accesso potenziale a informazioni non pubbliche. Inoltre, l’uso di strumenti su misura riflette la conoscenza dell’attore delle applicazioni Java aziendali, delle internals di Tomcat e delle componenti di Cisco ISE. 

Questi risultati illustrano ancora una volta come gli attori della minaccia continuino a prendere di mira appliance all’edge della rete per infiltrarsi nei network di interesse, rendendo fondamentale che le organizzazioni limitino l’accesso — tramite firewall o accessi a più livelli — ai portali di gestione privilegiata. 

“La natura pre-autenticazione di questi exploit rivela che persino sistemi ben configurati e meticolosamente mantenuti possono essere colpiti”, ha commentato Moses. “Questo sottolinea l’importanza di implementare strategie complete di difesa in profondità (defense-in-depth) e sviluppare robuste capacità di rilevamento in grado di individuare pattern comportamentali insoliti.”

SOC