CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilitățile Citrix și Cisco ISE exploatate în atacuri de tip zero-day

13 noiembrie 2025

Sursă: https://www.bleepingcomputer.com

O persoană rău intenționată a exploatat vulnerabilitățile critice Citrix Bleed 2 (CVE-2025-5777) din  NetScaler ADC și Gateway, precum și CVE-2025-20337 care afectează Cisco Identity Service Engine (ISE) ca zero-day-uri pentru a implementa malware personalizat.

Citrix Bleed 2 este o eroare de tip out-of-bounds memory read înNetScaler ADC and Gateway, pentru care furnizorul a publicat remedieri la sfârșitul lunii iunie.

Deși furnizorul a avut nevoie de o perioadă mai lungă pentru a confirma că vulnerabilitatea a fost exploatată în atacuri, în ciuda numeroaselor rapoarte din surse externe ce susțineau că a fost utilizată în atacuri, exploit-urile au devenit disponibile la începutul lunii iulie, iar CISA a etichetat-o ca fiind exploatată.

Vulnerabilitatea din ISE (CVE-2025-20337), cu un scor CvSS de 10/10, a fost publicată pe 17 iulie, când Cisco a avertizat că aceasta ar putea fi exploatată pentru a permite unui atacator neautentificat să stocheze fișiere rău intenționate, să execute cod arbitrar sau să obțină privilegii de root pe dispozitivele vulnerabile.

Atacatorii au folosit CVE-2025-20337 pentru a obține acces administrativ pre-autentificare la terminalele Cisco ISE și au implementat un web shell personalizat numit IdentityAuditAction, deghizat ca o componentă ISE legitimă.

Web shell-ul s-a înregistrat ca un listener HTTP pentru a intercepta toate cererile și a folosit Java reflection pentru a se injecta în thread-urile serverului Tomcat.

De asemenea, a utilizat criptarea DES cu codificare non-standard base64 pentru discreție, a solicitat cunoștințe specifice despre anteturile HTTP pentru accesare și a lăsat urme minime.

Utilizarea mai multor vulnerabilități zero-day nedivulgate și cunoștințele avansate despre componentele interne Java/Tomcat și arhitectura Cisco ISE indică toate un atacator avansat și cu resurse considerabile.

Se recomandă aplicarea actualizărilor de securitate disponibile pentru CVE-2025-5777 și CVE-2025-20337 și limitarea accesului la dispozitivele de rețea periferice prin intermediul firewall-urilor și layering-ului.

Sursă: https://www.bleepingcomputer.com/news/security/hackers-exploited-citrix-cisco-ise-flaws-in-zero-day-attacks/

Ai mai putea citi

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026

Vulnerabilitatea din Cisco SD-WAN exploatată în atacuri zero-day din 2023

26 februarie 2026

Actualizarea Windows 11 KB5077241 îmbunătățește BitLocker și adaugă instrumentul Sysmon

26 februarie 2026

Vulnerabilități identificate în VMware Aria Operations 

25 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |