آمازون حملاتی را کشف کرد که از Cisco ISE و Citrix NetScaler به عنوان نقص‌های روز صفر بهره برداری کردند...

تیم هوشمند تهدیدات آمازون فاش کرد که یک عامل تهدید پیشرفته را مشاهده کرده است که از دو نقص امنیتی روز صفر در محصولات Cisco Identity Service Engine (ISE) و Citrix NetScaler ADC به عنوان بخشی از حملاتی که برای ارائه بدافزارهای سفارشی طراحی شده‌اند، بهره برداری می‌کند.

CJ Moses ، مدیر ارشد امنیت اطلاعات آمازون، در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «این کشف، روند تمرکز عاملان تهدید بر زیرساخت‌های حیاتی هویت و کنترل دسترسی شبکه را برجسته می‌کند - سیستم‌هایی که شرکت‌ها برای اجرای سیاست‌های امنیتی و مدیریت احراز هویت در شبکه‌های خود به آنها متکی هستند.»

این حملات توسط شبکه هانی‌پات MadPot شناسایی شدند و فعالیت آنها از دو آسیب‌پذیری زیر به عنوان سلاح استفاده می‌کرد:

CVE-2025-5777 یا Citrix Bleed 2 (امتیاز CVSS: 9.3) :

یک آسیب‌پذیری اعتبارسنجی ورودی نامناسب در Citrix NetScaler ADC و Gateway که می‌توانست توسط یک مهاجم برای دور زدن احراز هویت مورد بهره برداری قرار گیرد. (این آسیب پذیری توسط Citrix در ژوئن 2025 اصلاح شد)

CVE-2025-20337 (امتیاز CVSS: 10.0) :

 یک آسیب‌پذیری اجرای کد از راه دور احراز هویت نشده در Cisco Identity Services Engine (ISE) و Cisco ISE Passive Identity Connector (ISE-PIC) که می‌توانست به یک مهاجم از راه دور اجازه دهد تا کد دلخواه را در سیستم عامل اصلی اجرا کند. (این آسیب پذیری توسط Cisco در ژوئیه 2025 اصلاح شد)

در حالی که هر دو نقص در سطح گسترده مورد بهره‌برداری فعال قرار گرفته‌اند، گزارش آمازون ماهیت دقیق حملاتی را که از آنها استفاده می‌کنند، روشن می‌کند.

این غول فناوری اعلام کرد که تلاش‌های بهره‌برداری که CVE-2025-5777 را به عنوان یک آسیب‌پذیری روز صفر در ماه مه 2025 هدف قرار می‌دادند، شناسایی کرده است که با استفاده از آسیب پذیری CVE-2025-20337، تجهیزات Cisco ISE را هدف قرار می‌داد.

Moses گفت: "این یک بدافزار معمولی و آماده نبود، بلکه یک درب پشتی سفارشی بود که به طور خاص برای محیط‌های Cisco ISE طراحی شده بود."

آمازون این کمپین را بی‌هدف توصیف کرد و عامل تهدید را به دلیل توانایی‌اش در استفاده از چندین بهره برداری روز صفر، چه با داشتن قابلیت‌های پیشرفته تحقیق در مورد آسیب‌پذیری و چه با دسترسی بالقوه به اطلاعات آسیب‌پذیری غیرعمومی، "دارای منابع بسیار" توصیف کرد. علاوه بر این، استفاده از ابزارهای سفارشی نشان دهنده دانش مهاجم از برنامه‌های جاوا سازمانی، داخلی Tomcat و عملکرد داخلی Cisco ISE می باشد.

این یافته‌ها بار دیگر نشان می‌دهد که چگونه عوامل تهدید همچنان به هدف قرار دادن تجهیزات شبکه برای نفوذ به شبکه‌های مورد نظر ادامه می‌دهند، و این امر بسیار مهم است که سازمان‌ها دسترسی را از طریق فایروال‌ها یا دسترسی لایه‌ای به پورتال‌های مدیریت محدود کنند.

Moses گفت: " حتی سیستم‌هایی که به خوبی پیکربندی و با دقت نگهداری می‌شوند نیز می‌توانند تحت تأثیر قرار گیرند. این امر بر اهمیت اجرای استراتژی‌های جامع دفاع در عمق و توسعه قابلیت‌های تشخیص قوی که می‌توانند الگوهای رفتاری غیرمعمول را شناسایی کنند، تأکید می‌کند."

منبع:

https://thehackernews.com/2025/11/amazon-uncovers-attacks-exploited-cisco.html