El equipo de inteligencia de amenazas de Amazon reveló el miércoles que había observado a un actor de amenazas avanzado que explotaba dos fallas de seguridad que entonces eran de día cero en los productos Cisco Identity Service Engine (ISE) y Citrix NetScaler ADC como parte de ataques diseñados para lanzar malware personalizado.
«Este descubrimiento pone de relieve la tendencia de los actores de amenazas a centrarse en la infraestructura crítica de control de acceso a la red y la identidad, los sistemas en los que confían las empresas para hacer cumplir las políticas de seguridad y gestionar la autenticación en sus redes», afirma CJ Moses, CISO de Amazon Integrated Security, en un informe compartido con The Hacker News.
Los ataques fueron señalados por su Mad Pot honeypot network, cuya actividad convierte en armas las dos vulnerabilidades siguientes -
- CVE-2025-5777 o Citrix Bleed 2 (puntuación CVSS: 9,3): una vulnerabilidad de validación de entradas insuficiente en Citrix NetScaler ADC y Gateway que un atacante podría aprovechar para eludir la autenticación. (Solucionado por Citrix en junio de 2025 )
- CVE-2025-20337 (Puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código no autenticada en Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC) que podría permitir a un atacante remoto ejecutar código arbitrario en el sistema operativo subyacente como usuario root. (Solucionado por Cisco en julio de 2025 )
Si bien ambas deficiencias han sido explotadas activamente en la naturaleza, el informe de Amazon arroja luz sobre la naturaleza exacta de los ataques que las aprovechan.
El gigante tecnológico dijo que había detectado intentos de explotación dirigidos al CVE-2025-5777 como un día cero, y que una investigación más profunda de la amenaza llevó al descubrimiento de una carga útil anómala dirigida a los dispositivos Cisco ISE al convertir el CVE-2025-20337 en un arma. Se dice que la actividad culminó con el despliegue de un shell web personalizado disfrazado de componente legítimo de Cisco ISE denominado IdentityAuditAction.
«No se trataba del típico malware estándar, sino de una puerta trasera personalizada diseñada específicamente para los entornos Cisco ISE», dijo Moses.
La consola web viene equipada con capacidades para pasar desapercibida, ya que funciona completamente en la memoria y utiliza la reflexión de Java para inyectarse en los subprocesos en ejecución. También se registra como oyente para supervisar todas las solicitudes HTTP en el servidor Tomcat e implementa el cifrado DES con una codificación Base64 no estándar para evitar ser detectada.
Amazon describió la campaña como indiscriminada y describió al actor de la amenaza como «altamente dotado de recursos» debido a su capacidad para aprovechar múltiples exploits de día cero, ya sea al poseer capacidades avanzadas de investigación de vulnerabilidades o al tener acceso potencial a información de vulnerabilidad no pública. Además, el uso de herramientas personalizadas refleja el conocimiento del adversario sobre las aplicaciones Java empresariales, los aspectos internos de Tomcat y el funcionamiento interno de Cisco ISE.
Los hallazgos ilustran una vez más cómo los actores de amenazas siguen atacando los dispositivos periféricos de la red para violar las redes de interés, por lo que es crucial que las organizaciones limiten el acceso, a través de firewalls o acceso por capas, a los portales de administración privilegiados.
«La naturaleza previa a la autenticación de estos exploits revela que incluso los sistemas bien configurados y mantenidos meticulosamente pueden verse afectados», afirma Moses. «Esto subraya la importancia de implementar estrategias integrales de defensa en profundidad y desarrollar capacidades de detección sólidas que puedan identificar patrones de comportamiento inusuales».