Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Analyse
Das Bedrohungsintelligenz-Team von Amazon identifizierte einen fortgeschrittenen Bedrohungsakteur, der zwei Zero-Day-Schwachstellen ausnutzte—CVE-2025-20337 in Cisco Identity Services Engine und CVE-2025-5777 in Citrix NetScaler ADC—um eine maßgeschneiderte In-Memory-Java-Webshell bereitzustellen, die auf Cisco ISE-Geräte abzielt.
Untersuchung
Die Aktivität wurde zuerst durch Amazons MadPot Honeypot-Netzwerk markiert. Analysten beobachteten Exploit-Versuche gegen CVE-2025-5777 und CVE-2025-20337, gefolgt von der Lieferung einer individuellen Backdoor namens IdentityAuditAction. Die Webshell läuft vollständig im Speicher, verwendet Java-Reflection, registriert einen Listener auf dem Tomcat-Server und verschlüsselt den Datenverkehr mit DES und einer nicht standardisierten Base64-Codierung. Amazon schreibt die Kampagne einem sehr gut ausgestatteten Akteur mit Zero-Day-Fähigkeit und Kenntnissen in Unternehmens-Java und Netzwerk-Edge-Geräten zu.
Minderung
Wenden Sie die vom Anbieter veröffentlichten Patches für CVE-2025-20337 (Cisco) und CVE-2025-5777 (Citrix) sofort an. Beschränken Sie den Netzwerkzugang zu Verwaltungsoberflächen mit Firewalls, VLAN-Segmentierung und Zero-Trust-Kontrollen. Implementieren Sie hostbasierte Intrusion Detection, um unerwartete Java-Prozesse, Tomcat-Änderungen und anormalen HTTP-Verkehr zu überwachen. Aktivieren Sie die Multi-Faktor-Authentifizierung für Administratorkonten und überprüfen Sie regelmäßig privilegierte Zugriffe.
Reaktion
Patchen Sie anfällige Cisco ISE- und Citrix NetScaler-Geräte, isolieren Sie kompromittierte Systeme und entfernen Sie die maßgeschneiderte Webshell. Führen Sie eine forensische Analyse von Protokollen und Speicherauszügen durch, um Indikatoren für einen Kompromiss zu identifizieren. Aktualisieren Sie die Erkennungsregeln in SIEM und IDS/IPS für die Exploit-Nutzlasten und Webshell-Signaturen. Benachrichtigen Sie relevante Stakeholder und berichten Sie, falls erforderlich, den Vorfall den entsprechenden Behörden.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef malware fill:#ccffcc classDef builtin fill:#cccccc %% Vulnerabilities vuln_cisco[„<b>Schwachstelle</b>: CVE-2025-20337 (Cisco ISE)“] class vuln_cisco builtin vuln_citrix[„<b>Schwachstelle</b>: CVE-2025-5777 (Citrix NetScaler)“] class vuln_citrix builtin %% Exploitation for Defense Evasion tech_exploit[„<b>Technique</b> – <b>T1211 Exploitation zur Umgehung von Abwehrmaßnahmen</b><br /><b>Beschreibung</b>: Der Angreifer nutzt CVE-2025-20337 und CVE-2025-5777 aus, um unauthentifizierte Remote-Code-Ausführung auf Management-Schnittstellen zu erlangen.“] class tech_exploit technique %% Remote code execution action_rce[„<b>Action</b> – Remote-Code-Ausführung<br /><b>Ergebnis</b>: Der Angreifer erhält Code-Ausführung auf den Management-Schnittstellen.“] class action_rce action %% Web shell deployment malware_webshell[„<b>Malware</b> – Webshell „IdentityAuditAction“<br /><b>Ort</b>: Innerhalb des Tomcat-Servers bereitgestellt und ermöglicht persistenten Zugriff.“] class malware_webshell malware %% Obfuscated Files or Information tech_obfuscate[„<b>Technique</b> – <b>T1027 Verschleierte Dateien oder Informationen</b><br /><b>Beschreibung</b>: Die benutzerdefinierte Webshell verschlüsselt den Datenverkehr mit DES und verwendet eine nicht standardisierte Base64-Kodierung zur Umgehung der Erkennung.“] class tech_obfuscate technique %% Hide Artifacts tech_hide[„<b>Technique</b> – <b>T1564 Artefakte verbergen</b><br /><b>Beschreibung</b>: In-Memory-Ausführung und Java-Reflection-Injektion ermöglichen den Betrieb der Shell ohne Schreiben von Dateien auf die Festplatte.“] class tech_hide technique %% Server Software Component: Web Shell tech_webshell[„<b>Technique</b> – <b>T1505.003 Server-Software-Komponente: Webshell</b><br /><b>Beschreibung</b>: Die Webshell verbleibt persistent in Tomcat zur fortlaufenden Command-and-Control-Kommunikation.“] class tech_webshell technique %% Command and Control action action_c2[„<b>Action</b> – Command and Control<br /><b>Funktion</b>: Stellt einen persistenten C2-Kanal bereit und überwacht alle HTTP-Anfragen.“] class action_c2 action %% Connections vuln_cisco –>|ermöglicht| tech_exploit vuln_citrix –>|ermöglicht| tech_exploit tech_exploit –>|führt zu| action_rce action_rce –>|liefert| malware_webshell malware_webshell –>|nutzt| tech_obfuscate malware_webshell –>|nutzt| tech_hide malware_webshell –>|stellt bereit| action_c2 malware_webshell –>|ist Instanz von| tech_webshell
Angriffsfluss
Nutzlast-Simulation
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Vorab-Check muss bestanden sein.
-
Angriffserzählung & Befehle:
Erster Zugriff: Angreifer entdeckt einen unauthentifizierten Datei-Upload-Endpunkt in der Cisco ISE-Weboberfläche. - Webshell-Bereitstellung: Mit
curl, lädt der Angreiferwebshell.jargetarnt alsiseComponent.jar. Die JAR-Datei enthält ein böswilliges Servlet, das bei Aufruf beliebigen Java-Code über Reflection ausführt (java.lang.reflect.Method.invoke). - Verschleierung: Die Nutzlast im Servlet ist DES-verschlüsselt und mit einer kundenspezifischen Base64-Variante codiert, um einfache Mustererkennung zu umgehen.
-
Auslöser der Ausführung: Der Angreifer sendet eine gefälschte HTTP-Anfrage, die den ISE-Prozess veranlasst, das Servlet zu starten, was zu einer Befehlszeile führt, die folgendermaßen aussieht:
java -cp /opt/cisco/ise/webapps/iseComponent.jar -Dpayload=DES:U2FsdGVkX1+... Base64:QmFzZTY0RW5jb2RlZURhdGE=Copy - Protokollierung: Cisco ISE protokolliert ein
IdentityAuditActionEreignis mit der vollständigen Befehlszeile, die die Bedingungen der Erkennungsregel erfüllt. -
Regressionstest-Skript:
#!/usr/bin/env bash set -euo pipefail # Variablen ISE_HOST="https://ise.example.com" UPLOAD_ENDPOINT="${ISE_HOST}/admin/uploadComponent" SHELL_JAR="webshell.jar" MALICIOUS_PAYLOAD="U2FsdGVkX1+..." # DES-verschlüsselt, benutzerdefiniertes Base64 CUSTOM_B64="QmFzZTY0RW5jb2RlZURhdGE="