Os agentes de ameaças utilizaram uma vulnerabilidade de gravidade máxima de dia zero nos sistemas Cisco Identity Service Engine (ISE) e Citrix para implantar malware backdoor personalizado. Equipe de inteligência de ameaças da Amazon identificado uma validação insuficiente da vulnerabilidade de entrada fornecida pelo usuário em implantações do Cisco ISE. Isso permitiu a execução remota de código de pré-autenticação em endpoints comprometidos, fornecendo acesso de nível de administrador. O bug, rastreado como CVE-2025-20337tem uma pontuação de gravidade de 10/10 (crítico). Os pesquisadores descobriram essa intrusão enquanto investigavam uma vulnerabilidade do Citrix Bleed Two, também explorada como dia zero. De acordo com o Página NVD“Uma vulnerabilidade em uma API específica do Cisco ISE e Cisco ISE-PIC pode permitir que um invasor remoto não autenticado execute código arbitrário no sistema operacional subjacente como root.” O comunicado afirma: “O invasor não requer credenciais válidas para explorar esta vulnerabilidade”, indicando que as explorações ocorrem ao enviar uma solicitação de API elaborada. Os invasores implantaram um web shell personalizado disfarçado como um componente legítimo do Cisco ISE chamado IdentityAuditAction. A Amazon explicou que esse malware não estava disponível no mercado, mas foi desenvolvido sob medida para ambientes Cisco ISE. O web shell operava inteiramente na memória, usava reflexão Java para injetar threads em execução e era registrado como ouvinte para monitorar solicitações HTTP no servidor Tomcat. Ele também implementou criptografia DES com codificação Base64 não padrão. Acesse o conhecimento necessário de cabeçalhos HTTP específicos. A Amazon não atribuiu os ataques a nenhum ator de ameaça específico, afirmando que os ataques não foram direcionados, mas usados indiscriminadamente contra inúmeras organizações.
