Amazon’un tehdit istihbarat ekibi Çarşamba günü, gelişmiş bir tehdit aktörünün, özel kötü amaçlı yazılım dağıtmak üzere tasarlanmış saldırıların bir parçası olarak Cisco Identity Service Engine (ISE) ve Citrix NetScaler ADC ürünlerindeki iki sıfır gün güvenlik açığından yararlandığını gözlemlediğini açıkladı.
Amazon Integrated Security’nin CISO’su CJ Moses, The Hacker News ile paylaşılan bir raporda şunları söyledi: “Bu keşif, tehdit aktörlerinin kritik kimlik ve ağ erişim kontrolü altyapısına (şirketlerin ağlarında güvenlik politikalarını uygulamak ve kimlik doğrulamayı yönetmek için güvendikleri sistemler) odaklanma eğilimini vurguluyor.”
Saldırılar MadPot honeypot ağı tarafından işaretlendi ve etkinlik aşağıdaki iki güvenlik açığını silahlaştırdı:
- CVE-2025-5777 veya Citrix Bleed 2 (CVSS puanı: 9,3) – Citrix NetScaler ADC ve Gateway’de, bir saldırganın kimlik doğrulamayı atlamak için kullanabileceği yetersiz giriş doğrulama güvenlik açığı. (Haziran 2025’te Citrix tarafından düzeltildi)
- CVE-2025-20337 (CVSS puanı: 10,0) – Cisco Kimlik Hizmetleri Motoru (ISE) ve Cisco ISE Pasif Kimlik Bağlayıcısı’nda (ISE-PIC), uzaktaki bir saldırganın temel işletim sisteminde kök olarak rastgele kod yürütmesine izin verebilecek, kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığı. (Temmuz 2025’te Cisco tarafından düzeltildi)
Her iki eksiklik de aktif olarak istismar ediliyor olsa da Amazon’un raporu, bunları kullanan saldırıların kesin doğasına ışık tutuyor.
Teknoloji devi, sıfır gün olarak CVE-2025-5777’yi hedef alan istismar girişimlerini tespit ettiğini ve tehdidin daha ayrıntılı araştırılmasının, CVE-2025-20337’yi silahlandırarak Cisco ISE cihazlarını hedef alan anormal bir yükün keşfedilmesine yol açtığını söyledi. Etkinliğin, IdentityAuditAction adlı meşru bir Cisco ISE bileşeni olarak gizlenen özel bir web kabuğunun konuşlandırılmasıyla sonuçlandığı söyleniyor.
Moses, “Bu, kullanıma hazır tipik bir kötü amaçlı yazılım değil, daha çok Cisco ISE ortamları için özel olarak tasarlanmış, özel olarak oluşturulmuş bir arka kapıydı” dedi.
Web kabuğu, radarın altından uçma, tamamen bellekte çalışma ve kendisini çalışan iş parçacıklarına enjekte etmek için Java yansımasını kullanma yetenekleriyle donatılmıştır. Ayrıca Tomcat sunucusundaki tüm HTTP isteklerini izlemek için bir dinleyici olarak kaydolur ve tespitten kaçınmak için standart olmayan Base64 kodlamasıyla DES şifrelemesi uygular.
Amazon, kampanyayı gelişigüzel olarak tanımladı ve tehdit aktörünü, gelişmiş güvenlik açığı araştırma yeteneklerine sahip olarak veya kamuya açık olmayan güvenlik açığı bilgilerine potansiyel erişime sahip olarak birden fazla sıfır gün istismarından yararlanma yeteneği nedeniyle “yüksek düzeyde kaynağa sahip” olarak nitelendirdi. Bunun da ötesinde, özel araçların kullanımı, düşmanın kurumsal Java uygulamaları, Tomcat dahili bileşenleri ve Cisco ISE’nin iç işleyişi hakkındaki bilgisini yansıtıyor.
Bulgular, tehdit aktörlerinin ilgi ağlarını ihlal etmek için ağ uç cihazlarını nasıl hedef almaya devam ettiğini bir kez daha gösteriyor; bu da kuruluşların güvenlik duvarları veya katmanlı erişim aracılığıyla ayrıcalıklı yönetim portallarına erişimi sınırlamasının hayati önem taşıdığını gösteriyor.
Moses, “Bu güvenlik açıklarının kimlik doğrulama öncesi doğası, iyi yapılandırılmış ve titizlikle bakımı yapılan sistemlerin bile etkilenebileceğini ortaya koyuyor” dedi. “Bu, kapsamlı derinlemesine savunma stratejileri uygulamanın ve olağandışı davranış kalıplarını tanımlayabilen güçlü tespit yetenekleri geliştirmenin öneminin altını çiziyor.”