Μια προηγμένη ομάδα hacking εκμεταλλεύεται ενεργά τις ευπάθειες zero-day στα συστήματα Cisco Identity Services Engine (ISE) και Citrix. Αυτές οι επιθέσεις, που εντοπίζονται σε πραγματικές λειτουργίες, επιτρέπουν στους χάκερ να αναπτύξουν προσαρμοσμένα webshells και να αποκτήσουν βαθιά πρόσβαση σε εταιρικά δίκτυα.
Τα ευρήματα υπογραμμίζουν πώς οι εισβολείς στοχεύουν βασικά συστήματα που διαχειρίζονται τις συνδέσεις χρηστών και τους ελέγχους δικτύου, θέτοντας τις επιχειρήσεις σε υψηλό κίνδυνο.
Cisco και Citrix 0-Days Exploited
Το πρόβλημα ξεκίνησε με την υπηρεσία MadPot honeypot της Amazon, ένα εργαλείο που έχει σχεδιαστεί για να δελεάζει και να μελετά τις απειλές στον κυβερνοχώρο. Εντόπισε προσπάθειες εκμετάλλευσης ενός ελαττώματος του Citrix γνωστό ως “Citrix Bleed Two” (CVE-2025-5777) προτού το μάθει κανείς δημόσια.
Αυτή η μηδενική ημέρα επιτρέπει στους εισβολείς να εκτελούν κώδικα απομακρυσμένα χωρίς άδεια. Σκάβοντας βαθύτερα, οι ειδικοί της Amazon συνέδεσαν τους ίδιους χάκερ με μια κρυφή αδυναμία του Cisco ISE, που τώρα ονομάζεται CVE-2025-20337.
Αυτό το σφάλμα χρησιμοποιεί λανθασμένο χειρισμό δεδομένων ή «αποσειριοποίηση», για να επιτρέψει σε τρίτους να εκτελέσουν κώδικα πριν καν συνδεθούν. Το αποτέλεσμα; Πλήρης διαχειριστικός έλεγχος στα επηρεαζόμενα συστήματα.
Αυτό που το κάνει τρομακτικό είναι το timing. Οι χάκερ χτύπησαν αυτά τα ελαττώματα στην άγρια φύση σε ρυθμίσεις που είχαν άμεση πρόσβαση στο Διαδίκτυο προτού η Cisco εκδώσει έναν αριθμό CVE ή πλήρεις ενημερώσεις κώδικα για όλες τις εκδόσεις του ISE.
Αυτή η τακτική “patch-gap” δείχνει την εξυπνάδα των επιτιθέμενων: παρακολουθούν στενά τις ενημερώσεις και χτυπούν γρήγορα όταν οι άμυνες είναι αδύναμες. Η Amazon μοιράστηκε τις λεπτομέρειες της Cisco με την εταιρεία, βοηθώντας στην επιτάχυνση των επιδιορθώσεων, αλλά η ζημιά ήταν ήδη σε εξέλιξη.
Μόλις μπήκαν μέσα, οι χάκερ φύτεψαν ένα ύπουλο προσαρμοσμένο κέλυφος ιστού μεταμφιεσμένο σε ένα κανονικό εξάρτημα της Cisco που ονομάζεται “IdentityAuditAction”. Σε αντίθεση με το βασικό κακόβουλο λογισμικό, αυτό είναι κατασκευασμένο μόνο για το Cisco ISE.
Εκτελείται εξ ολοκλήρου στη μνήμη του υπολογιστή, αποφεύγοντας αρχεία που θα μπορούσαν εύκολα να εντοπίσουν οι ομάδες εγκληματολογίας. Χρησιμοποιώντας κόλπα όπως η αντανάκλαση Java, συνδέεται στον διακομιστή web του συστήματος (Tomcat) για να παρακολουθεί όλη την κίνηση. Για να αποκρύψει εντολές, τις κρυπτογραφεί με DES και μια περίεργη ανατροπή του Base64, καθώς και ελέγχει για ειδικές κεφαλίδες ιστού για ενεργοποίηση.
Μια ματιά στον κώδικα αποκαλύπτει την πονηριά τους. Σε μια ρουτίνα, αποκωδικοποιεί κρυφές οδηγίες από αιτήματα ιστού, ανταλλάσσει χαρακτήρες όπως “*” με “a” και χρησιμοποιεί ένα μυστικό κλειδί (“d384922c”) για να ξεκλειδώσει το ωφέλιμο φορτίο. Αυτό επιτρέπει στους χάκερ να εκτελούν αυθαίρετο κώδικα χωρίς να αφήνουν ίχνη, καθιστώντας δύσκολη την ανίχνευση.
Η ανάλυση της Amazon δείχνει ότι η ομάδα εκτόξευε ευρέως αυτές τις εκμεταλλεύσεις σε όλο το Διαδίκτυο, όχι μόνο στόχευσε συγκεκριμένους στόχους. Τα εργαλεία τους δείχνουν βαθιά γνώση των εφαρμογών Java, της Tomcat και της εγκατάστασης της Cisco, υποδεικνύοντας μια καλά χρηματοδοτούμενη ομάδα με πληροφορίες vuln ή κορυφαίες ερευνητικές δεξιότητες.
Αυτό ταιριάζει σε ένα αυξανόμενο μοτίβο: οι επιτιθέμενοι στοχεύουν άμυνες αιχμής, όπως διαχειριστές ταυτότητας και απομακρυσμένες πύλες που προστατεύουν ολόκληρα δίκτυα.
Για τους επαγγελματίες ασφαλείας, αυτή είναι μια κλήση αφύπνισης. Ακόμη και τα κορυφαία συστήματα μπορούν να πέσουν σε εκμεταλλεύσεις πριν από τη σύνδεση. Η Amazon προτρέπει τις ομάδες να επιστρώσουν τις άμυνες: χρησιμοποιήστε τείχη προστασίας για να αποκλείσετε την πρόσβαση σε πύλες διαχείρισης, παρακολουθήστε την ασυνήθιστη κίνηση στον ιστό και δημιουργήστε ανίχνευση για περίεργες συμπεριφορές. Η γρήγορη επιδιόρθωση είναι το κλειδί, αλλά το ίδιο είναι και η παραδοχή παραβιάσεων και ο σχεδιασμός απαντήσεων.
Αυτή η καμπάνια μας υπενθυμίζει ότι οι μηδενικές ημέρες σε κρίσιμα εργαλεία όπως το Cisco και το Citrix μπορούν να ανοίξουν την πόρτα στο χάος. Οι εταιρείες πρέπει να παραμείνουν σε επαγρύπνηση καθώς οι χάκερ εξελίσσονται.
