BleepingComputer rapporte, sur la base d’un rapport partagé par Amazon Threat Intelligence et de données du honeypot MadPot, qu’un acteur avancé a exploité en zero-day deux failles critiques dans Citrix NetScaler et Cisco ISE pour déployer un malware personnalisé.
• Les vulnérabilités exploitées sont Citrix Bleed 2 (CVE-2025-5777) dans NetScaler ADC et Gateway (lecture hors limites), et CVE-2025-20337 dans Cisco Identity Services Engine (ISE) (désérialisation vulnérable). Amazon indique que les tentatives d’exploitation de Citrix Bleed 2 ont été observées avant la divulgation publique et les correctifs; une charge anormale visant un endpoint ISE non documenté a aussi été identifiée et signalée à Cisco.
• Chronologie clé: Citrix a publié des correctifs fin juin; des exploits publics sont apparus début juillet et la CISA a confirmé l’exploitation. Cisco a publié CVE-2025-20337 le 17 juillet (score de sévérité maximal), avertissant d’une exploitation active moins de cinq jours plus tard; le 28 juillet, un chercheur (Bobby Gould) a publié des détails techniques avec une chaîne d’exploitation. Amazon affirme que les deux failles ont été exploitées avant les bulletins initiaux de Cisco et Citrix.
• L’attaque sur Cisco ISE a permis un accès administrateur pré-auth aux endpoints ISE et le déploiement d’un web shell personnalisé “IdentityAuditAction”, déguisé en composant légitime d’ISE. Le web shell s’enregistre comme écouteur HTTP pour intercepter toutes les requêtes, utilise la réflexion Java pour s’injecter dans les threads Tomcat, emploie un chiffrement DES avec un encodage base64 non standard pour la furtivité, nécessite des en-têtes HTTP spécifiques et laisse peu de traces forensiques. Les impacts potentiels incluent stockage de fichiers malveillants, exécution de code arbitraire et élévation aux privilèges root sur les appareils vulnérables.
• Selon Amazon, l’emploi de multiples zero-days non divulgués, ainsi qu’une connaissance approfondie des internals Java/Tomcat et de l’architecture Cisco ISE, suggèrent un acteur hautement sophistiqué et bien doté, sans attribution possible à un groupe connu. Fait notable, le ciblage semble indiscriminé, atypique pour ce niveau d’adversaire. Les recommandations partagées incluent l’application des mises à jour disponibles pour CVE-2025-5777 et CVE-2025-20337, et la limitation de l’accès aux équipements en bordure via pare-feux et superposition de contrôles.
• IOCs et TTPs observés:
- IOCs:
- Nom du web shell: IdentityAuditAction
- TTPs:
- Exploitation de zero-days avant divulgation publique
- Ciblage d’un endpoint Cisco ISE non documenté avec logique de désérialisation vulnérable
- Enregistrement d’un écouteur HTTP pour intercepter toutes les requêtes
- Injection via réflexion Java dans des threads Tomcat
- Chiffrement DES + base64 non standard; accès conditionné à des en-têtes HTTP spécifiques; faible empreinte forensique
Article de presse spécialisé relayant une analyse de menace: informer sur l’exploitation zero-day des failles Citrix et Cisco ISE et décrire les TTPs du web shell déployé.
🧠 TTPs et IOCs détectés
TTPs
[‘Exploitation de zero-days avant divulgation publique’, ‘Ciblage d’un endpoint Cisco ISE non documenté avec logique de désérialisation vulnérable’, ‘Enregistrement d’un écouteur HTTP pour intercepter toutes les requêtes’, ‘Injection via réflexion Java dans des threads Tomcat’, ‘Chiffrement DES + base64 non standard’, ‘Accès conditionné à des en-têtes HTTP spécifiques’, ‘Faible empreinte forensique’]
IOCs
[‘Nom du web shell: IdentityAuditAction’]
🔗 Source originale : https://www.bleepingcomputer.com/news/security/hackers-exploited-citrix-cisco-ise-flaws-in-zero-day-attacks/