El equipo de inteligencia de amenazas de Amazon anunció el miércoles que observó a un sofisticado actor de amenazas que explotaba dos vulnerabilidades de día cero en los productos Cisco Identity Service Engine (ISE) y Citrix NetScaler ADC como parte de ataques destinados a introducir malware personalizado.
“Este descubrimiento destaca la tendencia de los actores de amenazas a centrarse en la infraestructura crítica de control de acceso a la red e identidad: los sistemas en los que confían las organizaciones para hacer cumplir las políticas de seguridad y gestionar la autenticación en sus redes”, dijo CJ Moses, CISO de Amazon Integrated Security, en un informe compartido con The Hacker News.
Los ataques fueron reportados por la red MadPot Honeypot, y la actividad aprovechó las dos vulnerabilidades siguientes:
- CVE-2025-5777 o Citrix Bleed 2 (Puntuación CVSS: 9,3): una vulnerabilidad de validación de entrada insuficiente en Citrix NetScaler ADC y Gateway que podría ser aprovechada por un atacante para evitar la autenticación. (Solucionado por Citrix en junio de 2025)
- CVE-2025-20337 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código no autenticado en Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC) que podría permitir a un atacante remoto ejecutar código arbitrario en el sistema operativo subyacente como raíz. (Solucionado por Cisco en julio de 2025)
Si bien ambas fallas se están explotando activamente, el informe de Amazon arroja luz sobre la naturaleza exacta de los ataques que las explotan.
El gigante tecnológico dijo que detectó intentos de explotación contra CVE-2025-5777 como día cero en mayo de 2025, y que una mayor investigación sobre la amenaza condujo al descubrimiento de una carga útil anómala que apuntaba a los dispositivos Cisco ISE al utilizar CVE-2025-20337 como arma. La actividad supuestamente culminó con la implementación de un shell web personalizado disfrazado de un componente legítimo de Cisco ISE llamado IdentityAuditAction.
“No era el típico malware disponible en el mercado, sino una puerta trasera diseñada específicamente para entornos Cisco ISE”, dijo Moses.
El web shell está repleto de características que le permiten pasar desapercibido, operar completamente en la memoria y aprovechar la reflexión de Java para inyectarse en los subprocesos en ejecución. También se registra como oyente para monitorear todas las solicitudes HTTP en el servidor Tomcat e implementa cifrado DES con codificación Base64 no estándar para evitar la detección.
Amazon describió la campaña como indiscriminada y caracterizó al actor de amenazas como “muy bien equipado” por ser capaz de explotar múltiples exploits de día cero, ya sea a través de capacidades avanzadas de investigación de vulnerabilidades o acceso potencial a información no pública sobre vulnerabilidades. Además, el uso de herramientas personalizadas refleja el conocimiento del adversario de las aplicaciones Java empresariales, los aspectos internos de Tomcat y el funcionamiento interno de Cisco ISE.
Los hallazgos ilustran aún más cómo los actores de amenazas continúan atacando los dispositivos de borde de la red para violar las redes de interés. Por lo tanto, es fundamental que las organizaciones limiten el acceso a través de firewalls o acceso por capas a portales de administración privilegiados.
“La naturaleza de autenticación previa de estos exploits muestra que incluso los sistemas bien configurados y mantenidos cuidadosamente pueden verse afectados”, dijo Moses. “Esto subraya la importancia de implementar estrategias integrales de defensa en profundidad y desarrollar capacidades de detección sólidas que puedan detectar patrones de comportamiento inusuales”.
About The Author
