Citrix- en Cisco-aanvallen ontdekt via Amazon-honeypot

In dit artikel:

Amazon ontdekte via zijn MadPot-honeypot dat een onbekende, technisch zeer bekwame hackersgroep al actief misbruik maakte van twee kritieke zero-days: Citrix NetScaler (CVE-2025-5777, ook bekend als Citrix Bleed 2) en Cisco Identity Services Engine (CVE-2025-20337). De ontdekkingen kwamen voordat beide lekken publiekelijk werden onthuld en voordat leveranciers hun eerste securitybulletins uitbrachten; Citrix bracht eind juni patches uit, Cisco waarschuwde op 17 juli en bevestigde kort daarna actieve exploitatie. Cisco’s ISE-kwetsbaarheid kreeg een CVSS-score van 10.0.

Volgens het door Amazon met BleepingComputer gedeelde rapport gebruikte de aanvaller CVE-2025-20337 om zonder authenticatie admin-rechten op Cisco ISE-systemen te verkrijgen en daar een aangepaste webshell te installeren met de naam IdentityAuditAction. Die webshell presenteerde zich als een legaal ISE-component, registreerde een HTTP-listener, onderschepte requests en injecteerde via Java reflection in Tomcat-threads. Verdere verhulling gebeurde met DES-encryptie en een afwijkende base64-encoding; de toegang vereiste specifieke HTTP-headers en liet weinig forensische sporen achter.

De combinatie van meerdere onbekende zero-days, diepgaande kennis van Java/Tomcat en ISE-architectuur en de geavanceerde evasiemethoden wijst op een professionele actor, maar Amazon kon de campagne niet aan een bekende APT-groep koppelen. Opvallend was dat de aanvallen niet scherp gericht leken, maar breed werden uitgevoerd.

Aanbeveling: installeer de beschikbare patches voor CVE-2025-5777 en CVE-2025-20337 direct, beperk toegang tot randapparatuur via firewalls en netwerksegmentatie en monitor ISE/Tomcat-logs op verdachte headers of ongewone listener-activiteit.