Amazon ujawnia atak APT na systemy Cisco i Citrix z wykorzystaniem zero-dayów

Amazon Threat Intelligence ujawnił działania zaawansowanego aktora, który wykorzystywał nieznane wcześniej luki w Cisco Identity Service Engine (CVE-2025-20337) i Citrix Bleed Two (CVE-2025-5777).

Zespół Amazon MadPot zarejestrował próby ataków jeszcze przed publicznym ujawnieniem podatności, co potwierdza, że hakerzy dysponowali exploitami zero-day. W przypadku Cisco ISE luka umożliwiała zdalne wykonanie kodu przed uwierzytelnieniem i pełne przejęcie systemu. Po włamaniu napastnicy instalowali niestandardowy web shell podszywający się pod komponent „IdentityAuditAction”, działający wyłącznie w pamięci i trudny do wykrycia.

Amazon podkreśla, że kampania była wymierzona w krytyczną infrastrukturę zarządzania tożsamością i dostępem sieciowym, a użyte techniki wskazują na wysoko zaawansowany i dobrze finansowany zespół APT.

Rekomendacja: ograniczyć dostęp do paneli zarządzania (Cisco ISE, Citrix) przez firewalle i monitorować anomalie w ruchu HTTP na serwerach Tomcat.

Źródło:
Amazon

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps