Двойной 0-day против Cisco и Citrix — Amazon зафиксировала атаку уровня APT на ядро корпоративной безопасности

Cisco Citrix 0-day Amazon APT нулевой день атаки
Двойной 0-day против Cisco и Citrix — Amazon зафиксировала атаку уровня APT на ядро корпоративной безопасности
Cisco Citrix 0-day Amazon APT нулевой день атаки

Нападки на инфраструктуру аутентификации становятся всё более скрытными и синхронными.

image

Amazon сообщила о сложной кибератаке, в которой злоумышленники одновременно использовали 2 уязвимости нулевого дня — в продуктах Citrix и Cisco. По данным главы службы информационной безопасности компании СиДжея Мозеса, неизвестная группировка получила доступ к системам, эксплуатируя дефекты ещё до их публичного раскрытия, и внедрила специально созданное вредоносное ПО.

Инцидент зафиксировала сеть ловушек Amazon MadPot. Она обнаружила попытки проникновения через уязвимость CVE-2025-5777 в Citrix NetScaler ADC и NetScaler Gateway — ошибку чтения за пределами допустимой области памяти. Из-за неё атакующий мог удалённо считывать содержимое памяти устройства и получать чувствительные данные сеансов. Уязвимость получила неофициальное название CitrixBleed 2 — по аналогии с предыдущим багом, через который хакеры крали токены авторизации у пользователей.

Citrix опубликовала исправление 17 июня, однако, как показали дальнейшие наблюдения, эксплойт активно использовался ещё до выхода патча. К началу июля Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) и независимые исследователи подтвердили эксплуатацию уязвимости, которая позволяла перехватывать пользовательские сессии.

Пока специалисты Amazon анализировали атаку на Citrix, они обнаружили другой вредоносный компонент, направленный уже на Cisco Identity Services Engine. Как выяснилось, тот использовал неописанный ранее сетевой эндпоинт, уязвимый из-за ошибки десериализации данных. Информация была передана Cisco, и позже компании присвоили этому багу идентификатор CVE-2025-20337.

Эта вторая уязвимость получила максимальный балл опасности — 10 по шкале CVSS. Она позволяла удалённым, неавторизованным злоумышленникам выполнять произвольный код на сервере с правами администратора (root). По словам Мозеса, особенно тревожным было то, что атаки начались до того, как Cisco официально зарегистрировала уязвимость и выпустила комплексные обновления. Подобная «эксплуатация в окне между патчами» считается типичным приёмом хорошо подготовленных акторов, которые отслеживают изменения в коде и мгновенно превращают найденные ошибки в инструменты атаки.

После проникновения в Cisco ISE хакеры установили кастомный бэкдор, разработанный специально под эту платформу. Он действовал исключительно в оперативной памяти, практически не оставляя следов, и внедрялся в активные процессы Java при помощи механизма рефлексии. Вредонос регистрировался в системе как HTTP-прослушиватель, перехватывая весь трафик Tomcat-сервера. Для скрытности использовались DES-шифрование и нестандартное кодирование Base64, а доступ к управлению требовал знания определённых HTTP-заголовков. По совокупности признаков специалисты пришли к выводу, что атака исходила не от случайных хакеров, а от группы, глубоко знакомой с архитектурой Cisco ISE и корпоративными Java-приложениями.

Факт одновременного владения эксплойтами для CitrixBleed 2 и CVE-2025-20337 говорит о высоком уровне подготовки злоумышленников. Такие возможности могут быть только у команды с собственными исследователями уязвимостей либо доступом к непубличной информации о них. Ни Cisco, ни Citrix пока не раскрыли, кто именно стоял за атаками и с какими целями проводилась операция.

По оценке команды Amazon Threat Intelligence, этот инцидент - хороший пример всё более опасной тенденции: крупные APT-группы используют несколько уязвимостей одновременно, чтобы проникать в системы критических сервисов — тех, что отвечают за аутентификацию, контроль доступа и сетевую политику в корпоративных инфраструктурах.