Un actor de amenazas persistentes avanzadas ha estado apuntando a vulnerabilidades de día cero en Cisco Identity Service Engine y Citrix. según una publicación de blog publicada el miércoles por investigadores de seguridad de Amazon.
Amazon dijo que había detectado previamente actividad de amenazas dirigida a la vulnerabilidad CitrixBleed 2, rastreada como CVE-2025-5777a través de su servicio honeypot MadPot. La detección indicó que la actividad de explotación se estaba llevando a cabo antes de la divulgación pública. citrix guía publicada en junio a dirección CitrixBleed 2.
Una investigación adicional encontró una «carga útil anómala» dirigida a un punto final previamente no documentado en Cisco ISE que utilizaba una lógica de deserialización vulnerable, dijo en el blog CJ Moses, CISO de Amazon Integrated Security.
La vulnerabilidad, rastreada como CVE-2025-20337, permite a un atacante lograr la ejecución remota de código de autenticación previa en Cisco ISE. Esto permite el acceso a nivel de administrador a los sistemas comprometidos.
El pirata informático implementó un shell web personalizado disfrazado para aparecer como un componente legítimo de Cisco ISE llamado IdentityAuditAction. Según los investigadores de Amazon, el malware no estaba disponible en el mercado, sino que era una puerta trasera diseñada específicamente para atacar los entornos Cisco ISE.
Cisco lanzado anteriormente actualizaciones de software para solucionar el problema.
Fuente