Amazon фиксирует высокоуровневую атаку: 0-day в Cisco и Citrix использованы для проникновения в центральные системы защит
Атаки на системы аутентификации становятся всё более незаметными и тщательно скоординированными.
Amazon сообщила о комплексном инциденте, в ходе которого злоумышленники параллельно задействовали две ранее неизвестные уязвимости — в продуктах Citrix и Cisco. По словам директора по информационной безопасности компании СиДжея Мозеса, неизвестная группа ещё до публикации сведений о проблемах использовала их для получения доступа и установки специально подготовленного вредоносного ПО.
Атака была выявлена с помощью сети ловушек Amazon MadPot. Именно она обнаружила попытки эксплуатации уязвимости CVE-2025-5777 в Citrix NetScaler ADC и NetScaler Gateway — ошибки чтения памяти за пределами допустимых границ. Такой дефект позволял злоумышленнику удалённо считывать содержимое устройств и перехватывать данные активных сессий. Из-за схожести с прошлогодним инцидентом исследователи окрестили баг названием CitrixBleed 2.
Citrix выпустила патч 17 июня, однако дальнейший анализ событий показал, что эксплойт активно применялся ещё до доступности обновления. Уже к началу июля и CISA, и независимые исследователи подтвердили: обнаруженная уязвимость действительно использовалась для захвата пользовательских сессий.
Во время изучения атаки на Citrix специалисты Amazon выявили и другой вредоносный модуль — теперь уже ориентированный на Cisco Identity Services Engine. Как выяснилось, он задействовал неизвестный ранее сетевой эндпоинт, уязвимый из-за ошибки при десериализации входящих данных. Полученная информация была передана Cisco, после чего уязвимости присвоили номер CVE-2025-20337.
Эта вторая проблема получила максимальный рейтинг по шкале CVSS — 10. Она открывала возможность удалённого выполнения произвольного кода с правами root на серверах Cisco ISE без какой-либо аутентификации. По словам Мозеса, наиболее тревожным оказалось то, что атака началась ещё до того, как производитель даже зарегистрировал уязвимость и выпустил обновления. Такой тип «эксплуатации в окне между патчами» характерен для высококвалифицированных атакующих, которые внимательно отслеживают изменения в кодовой базе и оперативно превращают найденные несоответствия в рабочие эксплойты.
Получив доступ к Cisco ISE, злоумышленники развернули собственный бэкдор, созданный специально под эту платформу. Он работал исключительно в оперативной памяти, практически не оставляя артефактов, и внедрялся в активные Java-процессы через механизм рефлексии. Компонент регистрировал себя как HTTP-слушатель, перехватывая трафик Tomcat. Для сокрытия активности применялись DES-шифрование и модифицированная схема Base64, а управление осуществлялось только при наличии специальных HTTP-заголовков. Все признаки указывали на то, что операцию проводила группа, отлично знакомая с архитектурой Cisco ISE и внутренними механизмами корпоративных Java-приложений.
Факт одновременного использования эксплойтов для CitrixBleed 2 и CVE-2025-20337 говорит о высокой квалификации команды, стоящей за атакой. Подобные возможности характерны для структур, обладающих собственными исследовательскими ресурсами или доступом к непубличным данным об уязвимостях. Ни Cisco, ни Citrix пока не сообщили, кто может быть причастен к операции.
Эксперты Amazon Threat Intelligence отмечают, что инцидент отражает новую тенденцию: крупные APT-группы всё чаще комбинируют несколько уязвимостей для атаки на ключевые сервисы — прежде всего те, что обеспечивают аутентификацию, контроль прав и сетевую политику в корпоративных экосистемах.