A equipe de threat intelligence da Amazon revelou, na quarta-feira, que identificou um grupo de agentes sofisticados explorando duas vulnerabilidades zero-day nos produtos Cisco Identity Services Engine (ISE) e Citrix NetScaler ADC.
O objetivo desses ataques é a instalação de malware personalizado.
Segundo CJ Moses, CISO da Amazon Integrated Security, em relatório compartilhado com o The Hacker News, essa descoberta evidencia uma tendência preocupante: criminosos estão focando em infraestruturas críticas de identidade e controle de acesso à rede — sistemas essenciais para que empresas garantam políticas de segurança e gerenciem autenticação.
Os ataques foram detectados pela rede de honeypots MadPot da Amazon, que identificou a exploração das seguintes falhas:
- **
CVE-2025-5777
**, apelidada de Citrix Bleed 2, com pontuação 9,3 no CVSS.
Trata-se de uma vulnerabilidade de validação insuficiente de entrada no Citrix NetScaler ADC e Gateway, que permite a um invasor burlar a autenticação.
A Citrix corrigiu essa falha em junho de 2025.
- **
CVE-2025-20337
**, com pontuação máxima 10,0 no CVSS.
Essa falha possibilita execução remota de código sem autenticação no Cisco ISE e no Cisco ISE Passive Identity Connector (ISE-PIC), permitindo que um atacante execute comandos como root no sistema operacional subjacente.
A Cisco lançou o patch em julho de 2025.
Embora ambas as vulnerabilidades estejam sendo exploradas ativamente no ambiente real, o relatório da Amazon detalha o modus operandi dos ataques.
A gigante de tecnologia identificou tentativas de exploração da
CVE-2025-5777
ainda enquanto era zero-day e, a partir disso, descobriu um payload anômalo direcionado aos appliances Cisco ISE que explorava a
CVE-2025-20337
.
Essa operação resultou na instalação de um web shell personalizado, mascarado como um componente legítimo da Cisco ISE chamado IdentityAuditAction.
“Não se trata de malware genérico, mas sim de uma backdoor feita sob medida para ambientes Cisco ISE”, explicou Moses.
Esse web shell opera inteiramente em memória, usando Java reflection para se injetar em threads ativos, evitando a detecção.
Ele atua como listener, monitorando todas as requisições HTTP no servidor Tomcat, e emprega criptografia DES combinada com uma codificação Base64 não padrão para esconder sua presença.
A Amazon classificou a campanha como indiscriminada e apontou o grupo por trás como “altamente bem financiado”, capaz de explorar múltiplas zero-days — seja por possuir avançada expertise em pesquisa de vulnerabilidades, seja por acesso a informações restritas.
Além disso, o uso de ferramentas customizadas demonstra profundo conhecimento em aplicações enterprise Java, arquitetura interna do Tomcat e funcionamento do Cisco ISE.
Esses achados reforçam a preocupação contínua com ataques direcionados a appliances de borda de rede, ressaltando a necessidade de limitar o acesso a portais de gerenciamento privilegiados por meio de firewalls e mecanismos de acesso multifatorial.
“A possibilidade de exploração pré-autenticação mostra que mesmo sistemas bem configurados e mantidos rigorosamente estão vulneráveis”, alerta Moses.
Ele enfatiza a importância de implementar estratégias de defesa em profundidade, aliadas a sistemas de detecção capazes de identificar comportamentos anômalos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...