Хакеры вовсю использовали «дыры» в Cisco и Citrix задолго до их исправления
Летом 2025 г. Citrix и Cisco выпустили обновления к критическим уязвимостям в своих продуктах. Сейчас выяснилось, что некие продвинутые хакеры активно эксплуатировали их еще до появления патчей
Лучше поздно, чем…
Хакеры с повышенным уровнем компетентности эксплуатировали критические уязвимости в продуктах Citrix и Cisco ещё до того, как информация о них вышла в публичное поле.
Речь идёт о «баге» CVE-2025-5777 (также известном как Cisco Bleed 2), который затрагивает Citrix NetScaler ADC и Gateway, и CVE-2025-20337 — уязвимость в Cisco Identity Service Engine.
Злоумышленники использовали их для установки самописного вредоносного ПО.
Эксперты по информационной безопасности компании Amazon, изучая данные со своей honeypot-ловушки MadPot, обнаружили, что еще до публикации сведений об уязвимости Citrix Bleed 2, предпринимались попытки ее эксплуатации. Кроме того, удалось перехватить вредоносный компонент, нацеленный на тогда еще неизвестную уязвимость в Cisco ISE.
Хакеры активно эксплуатировали уязвимости в Citrix и Cisco до появления патчей
Уязвимость Citrix Bleed 2 — это ошибка чтения содержимого памяти за пределами выделенной области. Вендор выпустил обновления к ней в конце июня.
По какой-то причине вендор долго отрицал, что уязвимость уже эксплуатируют, несмотря на многочисленные подтверждающие свидетельства. В июле появились первые публичные эксплойты, и Агентство по защите инфраструктуры и кибербезопасности США пометило эту уязвимость как активно эксплуатируемую.
Вторая проблема — CVE-2025-20337 — это десятибалльная уязвимость, связанная с отсутствием надлежащей проверки пользовательского ввода, открывали злоумышленникам возможность подгружать вредоносные файлы в привилегированные каталоги, запускать произвольный код или повышать свои привилегии в системе до максимума.
Через пять дней после выхода патчей вендор признал, что «баг» активно эксплуатируют.
На все десять баллов
Как установили специалисты Amazon, хакеры, эксплуатировавшие эту уязвимость ещё до её выхода в публичное поле, использовали её для получения административного доступа без какой-либо авторизации. Затем в систему подгружался веб-шелл IdentityAuditAction, выдававшийся за легитимный компонент ISE.
Этот веб-шелл регистрировал функцию прослушивания HTTP, которая перехватывала все запросы и использовала механизм отражения Java для встраивания в серверные потоки Apache Tomcat.
Злоумышленники также использовали шифрование DES с нестандартной кодировкой base64 для сохранения скрытности и оставляли после себя абсолютный минимум следов.
Очевидно, что работали специалисты с высокой степенью подготовки, которые не только смогли найти и использовать уязвимости нулевого дня, но также продемонстрировали глубокие знания архитектуры Cisco ISE, Java и Apache Tomcat.
При этом, говорится в публикации Amazon, выбор жертв выглядит совершенно случайным, хотя обычно злоумышленники предпринимают узконаправленные атаки, стараясь минимально привлекать к себе внимание.
«С другой стороны, случайный выбор жертв может быть «ложным флагом», дымовой завесой, предпринятой для маскировки истинных целей, — говорит Дмитрий Пешков, эксперт по информационной безопасности компании SEQ. — Если речь идет о продвинутой APT-группе с обширными ресурсами, то она может себе позволить и такие «репризы». Хотя более вероятным представляется предположение, что хакеры проводили широкую разведку местности, чтобы оценить практический потенциал указанных уязвимостей».
Пользователям затронутых продуктов настоятельно рекомендуется накатить давно выпущенные обновления, если этого ещё не было сделано, и максимально ограничить доступ к периферийному сетевому оборудованию извне.
