Alertas da Amazon: agente de ameaça avançada explora Cisco ISE e Citrix NetScaler zero-days – Against Invaders

Alertas da Amazon: agente de ameaça avançada explora Cisco ISE e Citrix NetScaler zero-days - Against Invaders

Alertas da Amazon: agente de ameaça avançada explora Cisco ISE e Citrix NetScaler zero-days

A Amazon alerta que um agente de ameaça avançado explorou zero-days no Cisco ISE e no Citrix NetScaler para implantar malware personalizado.

Os pesquisadores de inteligência de ameaças da Amazon detectaram um agente de ameaças avançado explorando duas falhas de dia zero não divulgadas anteriormente no Cisco Identity Service Engine (ISE) e no Citrix NetScaler ADC para fornecer malware personalizado.

Os invasores também exploraram várias vulnerabilidades não divulgadas.

Os honeypots da Amazon revelaram tentativas de exploração do Citrix Sangria Dois (CVE-2025-5777) e Cisco ISE (CVE-2025-20337) para RCE pré-autenticação antes da divulgação pública.

“O que tornou essa descoberta particularmente preocupante foi que a exploração estava ocorrendo antes que a Cisco atribuísse um número CVE ou lançasse patches abrangentes em todas as filiais afetadas do Cisco ISE.” lê o Consultivo publicado pela Amazon. “Essa técnica de exploração de lacunas de patch é uma marca registrada de agentes de ameaças sofisticados que monitoram de perto as atualizações de segurança e rapidamente armam as vulnerabilidades.”

Um Cisco ISE explorado, o ator instalou um shell da Web sob medida disfarçado de IdentityAuditAction. Criado para o ISE, ele foi executado totalmente na memória, injetado por meio de reflexão Java e registrou um ouvinte HTTP no Tomcat.

“Este não era um malware típico pronto para uso, mas sim um backdoor personalizado projetado especificamente para ambientes Cisco ISE.” afirma o relatório.

O shell da Web usava DES com Base64 não padrão, exigia cabeçalhos específicos para acesso e deixava artefatos mínimos. A rotina de desserialização decodificou uma carga útil, definiu ou instanciou uma classe de proxy e a executou. O ator mostrou conhecimento especializado dos componentes internos do Java, Tomcat e Cisco ISE, sugerindo um grupo bem financiado com acesso a várias pesquisas de exploração avançadas e de dia zero.

Os pesquisadores de segurança da Amazon alertam que a infraestrutura crítica, incluindo sistemas de identidade e gateways de acesso remoto, são os principais alvos. Mesmo sistemas bem conservados estão em risco, destacando a necessidade de defesa em profundidade, detecção robusta e acesso restrito a endpoints privilegiados.

“A natureza de pré-autenticação dessas explorações revela que mesmo sistemas bem configurados e meticulosamente mantidos podem ser afetados”, conclui o relatório. “Isso ressalta a importância de implementar estratégias abrangentes de defesa em profundidade e desenvolver recursos de detecção robustos que possam identificar padrões de comportamento incomuns.”

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking,Cisco ISE)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.