Los actores de amenazas utilizaron una vulnerabilidad de día cero de máxima gravedad en los sistemas Cisco Identity Service Engine (ISE) y Citrix para implementar malware de puerta trasera personalizado. El equipo de inteligencia de amenazas de Amazon identificado una validación insuficiente de la vulnerabilidad de entrada proporcionada por el usuario en implementaciones de Cisco ISE. Esto permitió la ejecución remota de código de autenticación previa en puntos finales comprometidos, proporcionando acceso a nivel de administrador. El error, rastreado como CVE-2025-20337tiene una puntuación de gravedad de 10/10 (crítico). Los investigadores descubrieron esta intrusión mientras investigaban una vulnerabilidad de Citrix Bleed Two, también explotada como día cero. Según el página NVD«Una vulnerabilidad en una API específica de Cisco ISE y Cisco ISE-PIC podría permitir que un atacante remoto no autenticado ejecute código arbitrario en el sistema operativo subyacente como root». El aviso dice: «El atacante no requiere ninguna credencial válida para explotar esta vulnerabilidad», lo que indica que los exploits se producen al enviar una solicitud API diseñada. Los atacantes implementaron un shell web personalizado disfrazado de un componente legítimo de Cisco ISE llamado IdentityAuditAction. Amazon explicó que este malware no estaba disponible en el mercado, sino que estaba diseñado a medida para los entornos Cisco ISE. El shell web funcionaba completamente en memoria, utilizaba la reflexión de Java para inyectar en subprocesos en ejecución y se registraba como oyente para monitorear las solicitudes HTTP en el servidor Tomcat. También implementó cifrado DES con codificación Base64 no estándar. Acceda al conocimiento necesario sobre encabezados HTTP específicos. Amazon no atribuyó los ataques a ningún actor de amenazas en particular, afirmando que los ataques no fueron dirigidos sino que se utilizaron indiscriminadamente contra numerosas organizaciones.
