Gli autori delle minacce hanno utilizzato una vulnerabilità zero-day di massima gravità nei sistemi Cisco Identity Service Engine (ISE) e Citrix per distribuire malware backdoor personalizzato. Il team di intelligence sulle minacce di Amazon identificato una convalida insufficiente della vulnerabilità dell’input fornito dall’utente nelle distribuzioni Cisco ISE. Ciò ha consentito l’esecuzione di codice remoto pre-autenticazione su endpoint compromessi, fornendo accesso a livello di amministratore. Il bug, tracciato come CVE-2025-20337ha un punteggio di gravità pari a 10/10 (critico). I ricercatori hanno scoperto questa intrusione mentre indagavano su una vulnerabilità Citrix Bleed Two, sfruttata anche come zero-day. Secondo il Pagina NVD“Una vulnerabilità in un’API specifica di Cisco ISE e Cisco ISE-PIC potrebbe consentire a un utente malintenzionato remoto non autenticato di eseguire codice arbitrario sul sistema operativo sottostante come root.” L’avviso afferma: “L’autore dell’attacco non richiede credenziali valide per sfruttare questa vulnerabilità”, indicando che gli exploit si verificano inviando una richiesta API predisposta. Gli aggressori hanno implementato una web shell personalizzata camuffata da componente Cisco ISE legittimo denominato IdentityAuditAction. Amazon ha spiegato che questo malware non era standardizzato ma creato su misura per gli ambienti Cisco ISE. La shell Web funzionava interamente in memoria, utilizzava la riflessione Java per l’inserimento nei thread in esecuzione e si registrava come ascoltatore per monitorare le richieste HTTP sul server Tomcat. Ha inoltre implementato la crittografia DES con codifica Base64 non standard. Per accedere è necessaria la conoscenza di intestazioni HTTP specifiche. Amazon non ha attribuito gli attacchi a nessun particolare attore di minacce, affermando che gli attacchi non erano mirati ma utilizzati indiscriminatamente contro numerose organizzazioni.
