Zeroday-kwetsbaarheden in Cisco ISE en Citrix-systemen uitgebuit bij cyberaanvallen

In dit artikel:

Amazon’s threat-intelligence team meldt dat aanvallers zero-day-kwetsbaarheden in Citrix en Cisco Identity Services Engine (ISE) hebben misbruikt, waaronder Citrix Bleed 2 (CVE-2025-5777) en een ongedocumenteerde deserialisatie-zwakheid in Cisco ISE (CVE-2025-20337). Exploitatie vond plaats nog voordat Cisco de kwetsbaarheid officieel had gecatalogiseerd of brede patches uitbracht. Detecties kwamen voort uit Amazons MadPot-honeypots; verder onderzoek toonde gerichte payloads en exploits die willekeurige internetdoelen aanvielen.

Na succesvolle aanval plaatsten de aanvallers een op maat gemaakte backdoor — een web shell die zich voordeed als IdentityAuditAction — specifiek afgestemd op Cisco ISE-omgevingen. De backdoor draait volledig in het geheugen, laat weinig forensische sporen achter, gebruikt Java-reflectie om zich in actieve threads te injecteren, registreert zich als HTTP-listener op Tomcat en hanteert DES-versleuteling met niet-standaard Base64-codering. Toegang vereist bovendien specifieke HTTP-headers, wat detectie bemoeilijkt.

Amazon concludeert dat de campagne duidt op een goed gefinancierde, technisch gevorderde groep met diepe kennis van enterprise Java, Tomcat en Cisco ISE-architectuur, mogelijk met toegang tot niet-openbare kwetsbaarheidsinformatie. Organisaties met Citrix- of Cisco ISE-implementaties worden dringend geadviseerd te patchen waar mogelijk, management-interfaces te beperken, netwerksegmentatie en monitoring te versterken en logs en indicators of compromise te controleren. (Artikelinfo: Wouter Hoeffnagel, Manager Online Content bij Dutch IT Media)