Zero-days em Cisco ISE e Citrix NetScaler são explorados para implantar webshells | Cyber ataques

Zero-days em Citrix NetScaler (CVE-2025-5777) e Cisco ISE (CVE-2025-20337) foram explorados em larga escala para implantar um webshell em memória identificado como "IdentityAuditAction"; equipes de honeypot da Amazon detectaram a campanha.

Pesquisadores identificaram exploração ativa de zero-days em appliances de controle de identidade e acesso: Citrix NetScaler (CVE-2025-5777, aka “Citrix Bleed Two”) e uma falha em Cisco Identity Services Engine (CVE-2025-20337). Ataques em ambiente real foram observados por equipes de inteligência que operam honeypots da Amazon.

Descoberta e escopo

A descoberta partiu da análise do serviço MadPot da Amazon, que capturou tentativas de exploração do bug em Citrix (CVE-2025-5777) antes de divulgação pública. Investigando, os analistas correlacionaram atividade do mesmo ator a um defeito de desserialização em Cisco ISE, registrado como CVE-2025-20337. As falhas foram utilizadas em exploração ampla contra hosts acessíveis pela internet.

Abordagem técnica e payloads

O vetor em Cisco ISE envolve desserialização insegura que permite execução remota de código antes da autenticação, resultando em controle administrativo do sistema afetado. Após intrusão, operadores implantaram um webshell customizado disfarçado como componente legítimo "IdentityAuditAction".

O webshell opera inteiramente em memória, evita escrita de arquivos e se integra ao servidor web (Tomcat) por meio de técnicas como Java reflection. Comandos são ocultados por cifragem DES e uma variante de Base64; um trecho da análise menciona a chave/indicador "d384922c" e rotinas que transformam caracteres concretos (por exemplo, troca de "*" por "a") para decodificar instruções recebidas por cabeçalhos HTTP específicos.

Impacto e alcance

Alvos são equipamentos de borda que gerenciam autenticação e acesso de rede; a compromissão dessas plataformas abre a porta para movimento lateral e persistência discreta em redes corporativas. A operação observada tinha caráter massivo (varredura e tentativa de exploração ampla), não apenas ataque direcionado — segundo a análise, os exploradores varreram grande parte da superfície exposta na internet.

Mitigações e recomendações operacionais

isolar e restringir acesso à interfaces de gerenciamento (filtrar via firewall ou VPN);
aplicar patches e atualizações assim que os fornecedores liberarem correções oficiais;
monitorar tráfego web e logs de Tomcat/proxies para headers HTTP incomuns, padrões de decodificação e assinaturas de comunicação cifrada in-memory;
implementar detecção de comportamentos anômalos, incluindo processos Java que estabeleçam conexões externas não usuais ou manipulação de classes por reflection em tempo de execução;
assumir possibilidade de comprometimento e preparar planos de resposta, incluindo snapshots/forense de memória antes de reiniciar serviços.

Limites das informações

As análises descrevem técnicas e amostras de webshells observadas, mas não há atribuição pública do ator responsável nas fontes consultadas. As divulgações vêm de observações de honeypots e análises por equipes de segurança; fabricantes foram notificados conforme relatado.

Contexto

O episódio reforça a tendência de atacantes focalizarem infraestruturas críticas de identidade e de controladores de acesso remoto. Administradores de rede e segurança devem priorizar a proteção e o monitoramento dessas camadas, além de resposta rápida a avisos de segurança de fornecedores.

Fonte: Cyber Security News (análise baseada em dados do MadPot da Amazon).