Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Análisis
El equipo de inteligencia de amenazas de Amazon identificó a un actor de amenaza avanzado que aprovecha dos vulnerabilidades de día cero: CVE‑2025‑20337 en Cisco Identity Services Engine y CVE‑2025‑5777 en Citrix NetScaler ADC, para desplegar un shell web Java personalizado en memoria dirigido a dispositivos Cisco ISE.
Investigación
La actividad fue detectada inicialmente por la red honeypot MadPot de Amazon. Los analistas observaron intentos de explotación contra CVE‑2025‑5777 y CVE‑2025‑20337, seguidos de la entrega de una puerta trasera personalizada llamada IdentityAuditAction. El shell web se ejecuta completamente en memoria, utiliza reflexión Java, registra un oyente en el servidor Tomcat y cifra el tráfico con DES y una codificación Base64 no estándar. Amazon atribuye la campaña a un actor altamente capacitado con capacidad de día cero y conocimiento de Java empresarial y dispositivos de borde de red.
Mitigación
Aplique inmediatamente los parches liberados por el proveedor para CVE‑2025‑20337 (Cisco) y CVE‑2025‑5777 (Citrix). Restrinja el acceso a la red a las interfaces de gestión usando firewalls, segmentación VLAN y controles de confianza cero. Despliegue detección de intrusiones basada en host para monitorear procesos Java inesperados, modificaciones del Tomcat y tráfico HTTP anormal. Habilite la autenticación multifactor para cuentas administrativas y audite regularmente el acceso privilegiado.
Respuesta
Parchear los dispositivos vulnerables de Cisco ISE y Citrix NetScaler, aislar los sistemas comprometidos y eliminar el shell web personalizado. Realizar análisis forense de registros y volcados de memoria para identificar indicadores de compromiso. Actualizar reglas de detección en SIEM e IDS/IPS para las cargas explotadoras y las firmas del shell web. Notificar a las partes interesadas relevantes y, si es necesario, reportar el incidente a las autoridades correspondientes.
graph TB %% Class definitions classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef malware fill:#ccffcc classDef builtin fill:#cccccc %% Vulnerabilities vuln_cisco[«<b>Vulnerabilidad</b>: CVE‑2025‑20337 (Cisco ISE)»] class vuln_cisco builtin vuln_citrix[«<b>Vulnerabilidad</b>: CVE‑2025‑5777 (Citrix NetScaler)»] class vuln_citrix builtin %% Exploitation for Defense Evasion tech_exploit[«<b>Técnica</b> – <b>T1211 Explotación para Evasión de Defensa</b><br/><b>Descripción</b>: El atacante aprovecha CVE‑2025‑20337 y CVE‑2025‑5777 para lograr ejecución remota de código no autenticada en interfaces de gestión.»] class tech_exploit technique %% Remote code execution action_rce[«<b>Acción</b> – Ejecución Remota de Código<br/><b>Resultado</b>: El atacante obtiene ejecución de código en las interfaces de gestión.»] class action_rce action %% Web shell deployment malware_webshell[«<b>Malware</b> – Web Shell ‘IdentityAuditAction'<br/><b>Ubicación</b>: Desplegado dentro del servidor Tomcat proporcionando acceso persistente.»] class malware_webshell malware %% Obfuscated Files or Information tech_obfuscate[«<b>Técnica</b> – <b>T1027 Archivos o Información Ofuscada</b><br/><b>Descripción</b>: La web shell personalizada encripta el tráfico con DES y utiliza codificación Base64 no estándar para evadir detección.»] class tech_obfuscate technique %% Hide Artifacts tech_hide[«<b>Técnica</b> – <b>T1564 Ocultar Artefactos</b><br/><b>Descripción</b>: La ejecución en memoria y la inyección con reflexión de Java permiten que la shell se ejecute sin escribir archivos en disco.»] class tech_hide technique %% Server Software Component: Web Shell tech_webshell[«<b>Técnica</b> – <b>T1505.003 Componente de Software del Servidor: Web Shell</b><br/><b>Descripción</b>: La web shell persiste en Tomcat para el control y comando continuo.»] class tech_webshell technique %% Command and Control action action_c2[«<b>Acción</b> – Comando y Control<br/><b>Función</b>: Proporciona un canal C2 persistente y monitorea todas las solicitudes HTTP.»] class action_c2 action %% Connections vuln_cisco u002du002d>|habilita| tech_exploit vuln_citrix u002du002d>|habilita| tech_exploit tech_exploit u002du002d>|conduce a| action_rce action_rce u002du002d>|despliega| malware_webshell malware_webshell u002du002d>|usa| tech_obfuscate malware_webshell u002du002d>|usa| tech_hide malware_webshell u002du002d>|proporciona| action_c2 malware_webshell u002du002d>|es instancia de| tech_webshell
Flujo de Ataque
Simulación de Carga Útil
Ejecución de Simulación
Prerequisito: La Verificación Pre‑vuelo de Telemetría y Línea Base debe haber sido aprobada.
-
Narrativa del Ataque y Comandos:
Acceso Inicial:El atacante descubre un punto final de carga de archivos no autenticado en la interfaz web de Cisco ISE. -
Despliegue de Shell Web:Usando
curl, el atacante subewebshell.jardisfrazado comoiseComponent.jar. El JAR contiene un servlet malicioso que, cuando se invoca, ejecuta código Java arbitrario a través de reflexión (java.lang.reflect.Method.invoke). -
Ofuscación:La carga útil dentro del servlet está cifrada con DES y codificada con una variante personalizada de Base64 para evadir la coincidencia de patrones simples.
-
Desencadenador de Ejecución:El atacante envía una solicitud HTTP falsificada que hace que el proceso ISE lance el servlet, resultando en una línea de comandos similar a:
java -cp /opt/cisco/ise/webapps/iseComponent.jar -Dpayload=DES:U2FsdGVkX1+... Base64:QmFzZTY0RW5jb2RlZURhdGE=Copy -
Registro:Cisco ISE registra un evento
IdentityAuditActioncon la línea de comandos completa, satisfaciendo las condiciones de la regla de detección. -
Script de Prueba de Regresión:
#!/usr/bin/env bash set -euo pipefail # Variables ISE_HOST="https://ise.example.com" UPLOAD_ENDPOINT="${ISE_HOST}/admin/uploadComponent" SHELL_JAR="webshell.jar" MALICIOUS_PAYLOAD="U2FsdGVkX1+..." # DES‑encrypted, custom Base64 CUSTOM_B64="QmFzZTY0RW5jb2RlZURhdGE="