Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Análise
A equipe de inteligência de ameaças da Amazon identificou um ator de ameaça avançado utilizando duas vulnerabilidades zero‑day—CVE‑2025‑20337 no Cisco Identity Services Engine e CVE‑2025‑5777 no Citrix NetScaler ADC—para implantar um web shell Java personalizado em memória visando appliances Cisco ISE.
Investigação
A atividade foi inicialmente sinalizada pela rede honeypot MadPot da Amazon. Os analistas observaram tentativas de exploração contra CVE‑2025‑5777 e CVE‑2025‑20337, seguidas pela entrega de uma backdoor personalizada denominada IdentityAuditAction. O web shell opera completamente em memória, utiliza reflexão Java, registra um ouvinte no servidor Tomcat e criptografa o tráfego com DES e uma codificação Base64 não padrão. A Amazon atribui a campanha a um ator altamente equipado com capacidade de zero‑day e conhecimento de Java empresarial e appliances de borda de rede.
Mitigação
Aplique imediatamente os patches lançados pelos fornecedores para CVE‑2025‑20337 (Cisco) e CVE‑2025‑5777 (Citrix). Restrinja o acesso à rede às interfaces de gestão usando firewalls, segmentação VLAN e controles de confiança zero. Implante detecção de intrusão baseada em host para monitorar processos Java inesperados, modificações no Tomcat e tráfego HTTP anormal. Habilite a autenticação multifator para contas administrativas e audite regularmente o acesso privilegiado.
Resposta
Corrija dispositivos vulneráveis Cisco ISE e Citrix NetScaler, isole sistemas comprometidos e remova o web shell personalizado. Conduza análise forense dos logs e despejos de memória para identificar indicadores de comprometimento. Atualize as regras de detecção em SIEM e IDS/IPS para as cargas exploratórias e assinaturas do web‑shell. Notifique stakeholders relevantes e, se necessário, reporte o incidente às autoridades competentes.
graph TB %% Definições de Classes classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef malware fill:#ccffcc classDef builtin fill:#cccccc %% Vulnerabilidades vuln_cisco[“<b>Vulnerabilidade</b>: CVE‑2025‑20337 (Cisco ISE)”] class vuln_cisco builtin vuln_citrix[“<b>Vulnerabilidade</b>: CVE‑2025‑5777 (Citrix NetScaler)”] class vuln_citrix builtin %% Exploração para Evasão de Defesa tech_exploit[“<b>Técnica</b> – <b>T1211 Exploração para Evasão de Defesa</b><br/><b>Descrição</b>: O atacante explora as CVE‑2025‑20337 e CVE‑2025‑5777 para obter execução remota de código não autenticada nas interfaces de gerenciamento.”] class tech_exploit technique %% Execução remota de código action_rce[“<b>Ação</b> – Execução Remota de Código<br/><b>Resultado</b>: O atacante obtém execução de código nas interfaces de gerenciamento.”] class action_rce action %% Implantação de web shell malware_webshell[“<b>Malware</b> – Web Shell \”IdentityAuditAction\”<br/><b>Localização</b>: Implantado dentro do servidor Tomcat, fornecendo acesso persistente.”] class malware_webshell malware %% Arquivos ou Informações Ofuscados tech_obfuscate[“<b>Técnica</b> – <b>T1027 Arquivos ou Informações Ofuscados</b><br/><b>Descrição</b>: O web shell personalizado criptografa o tráfego com DES e utiliza uma codificação Base64 não padrão para evitar detecção.”] class tech_obfuscate technique %% Ocultar Artefatos tech_hide[“<b>Técnica</b> – <b>T1564 Ocultar Artefatos</b><br/><b>Descrição</b>: Execução em memória e injeção via reflexão Java permitem que o shell seja executado sem gravar arquivos em disco.”] class tech_hide technique %% Componente de Software de Servidor: Web Shell tech_webshell[“<b>Técnica</b> – <b>T1505.003 Componente de Software de Servidor: Web Shell</b><br/><b>Descrição</b>: O web shell persiste no Tomcat para comando e controle contínuos.”] class tech_webshell technique %% Ação de Comando e Controle action_c2[“<b>Ação</b> – Comando e Controle<br/><b>Função</b>: Fornece um canal C2 persistente e monitora todas as requisições HTTP.”] class action_c2 action %% Conexões vuln_cisco u002du002d>|habilita| tech_exploit vuln_citrix u002du002d>|habilita| tech_exploit tech_exploit u002du002d>|leva a| action_rce action_rce u002du002d>|implanta| malware_webshell malware_webshell u002du002d>|usa| tech_obfuscate malware_webshell u002du002d>|usa| tech_hide malware_webshell u002du002d>|fornece| action_c2 malware_webshell u002du002d>|é instância de| tech_webshell
Fluxo de Ataque
Simulação de Carga Útil
Execução de Simulação
Pré-requisito: O Check Preliminar de Telemetria & Linha de Base deve ter sido aprovado.
-
Narrativa do Ataque & Comandos:
Acesso Inicial: O invasor descobre um ponto de extremidade de upload de arquivos não autenticado na interface web do Cisco ISE. -
Implantação de Web Shell: Usando
curl, o invasor faz o upload dewebshell.jardisfarçado comoiseComponent.jar. O JAR contém um servlet malicioso que, quando invocado, executa código Java arbitrário via reflexão (java.lang.reflect.Method.invoke). -
Ofuscação: A carga útil dentro do servlet é criptografada com DES e codificada com uma variante customizada de Base64 para evadir correspondência de padrões simples.
-
Acionador de Execução: O invasor envia uma requisição HTTP forjada que faz com que o processo ISE inicie o servlet, resultando em uma linha de comando semelhante a:
java -cp /opt/cisco/ise/webapps/iseComponent.jar -Dpayload=DES:U2FsdGVkX1+... Base64:QmFzZTY0RW5jb2RlZURhdGE=Copy -
Registro: O Cisco ISE registra um evento
IdentityAuditActioncom a linha de comando completa, atendendo às condições das regras de detecção. -
Script de Teste de Regressão:
#!/usr/bin/env bash set -euo pipefail # Variáveis ISE_HOST="https://ise.example.com" UPLOAD_ENDPOINT="${ISE_HOST}/admin/uploadComponent" SHELL_JAR="webshell.jar" MALICIOUS_PAYLOAD="U2FsdGVkX1+..." # Criptografado com DES, Base64 customizado CUSTOM_B64="QmFzZTY0RW5jb2RlZURhdGE="