Один Java-костыль — 2 0Day: хакеры получили полный админский контроль над Cisco

Отдел киберразведки Amazon сообщил о выявлении продвинутой кампании, в которой неизвестная группировка использовала сразу две уязвимости нулевого дня — в Cisco Identity Service Engine (ISE) и системах Citrix. Обнаруженные атаки отличались высокой степенью изощрённости: злоумышленники применяли собственное вредоносное ПО и имели доступ к ряду неизвестных ранее уязвимостей, что указывает на наличие у группы значительных ресурсов и исследовательского потенциала. Этот случай подтверждает тенденцию смещения внимания атакующих на ключевую сетевую инфраструктуру, управляющую аутентификацией и политиками доступа в корпоративных сетях.

Первые следы активности Amazon зафиксировал с помощью системы ловушек MadPot, когда были замечены попытки эксплуатации уязвимости Citrix Bleed Two (CVE-2025-5777) ещё до её публичного раскрытия. Это свидетельствовало о том, что злоумышленники пользовались уязвимостью как нулевым днём. Дальнейший анализ показал, что та же группа одновременно атаковала сервисы Cisco, используя неизвестный ранее сбой в механизме десериализации Cisco ISE.

Дефект, позднее получивший идентификатор CVE-2025-20337, позволял выполнять произвольный код без аутентификации и обеспечивал полный административный контроль над системой. По данным Amazon, эксплуатация шла задолго до присвоения уязвимости номера и выпуска обновлений, что характерно для хорошо подготовленных групп, отслеживающих процесс исправления ошибок и мгновенно использующих промежуток между обнаружением проблемы и выпуском полного набора обновлений.

После получения доступа злоумышленники устанавливали нестандартный веб-шелл, замаскированный под компонент Cisco ISE под названием IdentityAuditAction. Этот вредонос был создан специально для инфраструктуры Cisco и отличался продуманной скрытностью. Он полностью работал в оперативной памяти, не оставляя следов на диске, внедрялся в активные потоки Java через механизм рефлексии, регистрировался как прослушиватель HTTP-трафика на сервере Tomcat и использовал шифрование DES с нестандартным кодированием Base64. Доступ к интерфейсу требовал знания особых HTTP-заголовков, что позволяло ограничить круг тех, кто мог управлять бэкдором.

Код десериализации содержал цепочку операций с двойным шифрованием и подменой символов, что дополнительно осложняло анализ. Через DES-шифр с фиксированным ключом и модифицированное кодирование выполнялась расшифровка тела запроса, после чего вредонос динамически создавал класс и внедрял его в рабочие потоки Tomcat. Такой подход позволял незаметно перехватывать запросы и выполнять команды без сохранения файлов на диск, что фактически исключало возможность обнаружения стандартными средствами мониторинга.

По наблюдениям Amazon, злоумышленники атаковали системы, находившиеся в открытом доступе, и не ограничивали цели по отраслям. Их инструменты показывали глубокие знания архитектуры корпоративных Java-приложений и внутренней логики Cisco ISE, включая способы обхода встроенных механизмов безопасности. Способность использовать сразу несколько нулевых уязвимостей и быстро их комбинировать указывает на то, что группа обладает собственными возможностями по исследованию ошибок либо имеет доступ к непубличной информации о них.

Для администраторов и специалистов по защите Amazon советует рассматривать подобные атаки как сигнал к усилению защиты систем управления идентификацией и шлюзов удалённого доступа. Даже тщательно настроенные решения могут оказаться уязвимыми, если атака происходит до установки исправлений. Рекомендуется ограничивать сетевой доступ к административным интерфейсам, применять сегментацию и многоуровневую фильтрацию, а также внедрять средства анализа аномального поведения, способные выявлять нетипичные обращения к служебным компонентам.