Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Analisi
Il team di intelligence sulle minacce di Amazon ha identificato un attore di minaccia avanzato che sfrutta due vulnerabilità zero-day—CVE-2025-20337 in Cisco Identity Services Engine e CVE-2025-5777 in Citrix NetScaler ADC—per distribuire una web shell Java personalizzata in memoria che prende di mira gli apparecchi Cisco ISE.
Indagine
L’attività è stata inizialmente segnalata dalla rete honeypot MadPot di Amazon. Gli analisti hanno osservato tentativi di exploit contro CVE-2025-5777 e CVE-2025-20337, seguiti dalla consegna di una backdoor personalizzata chiamata IdentityAuditAction. La web shell funziona interamente in memoria, utilizza la reflection Java, registra un listener sul server Tomcat e cripta il traffico con DES e una codifica Base64 non standard. Amazon attribuisce la campagna a un attore altamente dotato di risorse con capacità di zero-day e conoscenza di Java aziendale e apparecchi di limite di rete.
Mitigazione
Applica immediatamente le patch rilasciate dal venditore per CVE-2025-20337 (Cisco) e CVE-2025-5777 (Citrix). Restringi l’accesso di rete alle interfacce di gestione utilizzando firewall, segmentazione VLAN e controlli zero-trust. Implementa il rilevamento delle intrusioni a livello di host per monitorare processi Java inattesi, modifiche al Tomcat e traffico HTTP anomalo. Abilita l’autenticazione a più fattori per account amministrativi e verifica regolarmente l’accesso privilegiato.
Risposta
Applica patch ai dispositivi Cisco ISE e Citrix NetScaler vulnerabili, isola i sistemi compromessi e rimuovi la web shell personalizzata. Conduci un’analisi forense dei log e dei dump di memoria per identificare gli indicatori di compromissione. Aggiorna le regole di rilevamento in SIEM e IDS/IPS per i payload exploit e le firme delle web-shell. Notifica ai soggetti rilevanti e, se necessario, segnala l’incidente alle autorità competenti.
ngraph TB %% Class definitions classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef malware fill:#ccffcc classDef builtin fill:#cccccc %% Vulnerabilities vuln_cisco[“<b>Vulnerabilità</b>: CVE‑2025‑20337 (Cisco ISE)”] class vuln_cisco builtin vuln_citrix[“<b>Vulnerabilità</b>: CVE‑2025‑5777 (Citrix NetScaler)”] class vuln_citrix builtin %% Exploitation for Defense Evasion tech_exploit[“<b>Tecnica</b> – <b>T1211 Sfruttamento per evasione delle difese</b><br/><b>Descrizione</b>: L’attaccante sfrutta CVE‑2025‑20337 e CVE‑2025‑5777 per ottenere l’esecuzione remota di codice non autenticata sulle interfacce di gestione.”] class tech_exploit technique %% Remote code execution action_rce[“<b>Azione</b> – Esecuzione remota di codice<br/><b>Risultato</b>: L’attaccante ottiene l’esecuzione di codice sulle interfacce di gestione.”] class action_rce action %% Web shell deployment malware_webshell[“<b>Malware</b> – Web Shell \”IdentityAuditAction\”<br/><b>Posizione</b>: Distribuita all’interno del server Tomcat fornendo accesso persistente.”] class malware_webshell malware %% Obfuscated Files or Information tech_obfuscate[“<b>Tecnica</b> – <b>T1027 File o informazioni offuscate</b><br/><b>Descrizione</b>: La web shell personalizzata cifra il traffico con DES e utilizza una codifica Base64 non standard per eludere il rilevamento.”] class tech_obfuscate technique %% Hide Artifacts tech_hide[“<b>Tecnica</b> – <b>T1564 Nascondi artefatti</b><br/><b>Descrizione</b>: L’esecuzione in memoria e l’iniezione tramite Java reflection consentono alla shell di funzionare senza scrivere file su disco.”] class tech_hide technique %% Server Software Component: Web Shell tech_webshell[“<b>Tecnica</b> – <b>T1505.003 Componente software server: Web Shell</b><br/><b>Descrizione</b>: La web shell persiste in Tomcat per il comando e controllo continuo.”] class tech_webshell technique %% Command and Control action action_c2[“<b>Azione</b> – Comando e Controllo<br/><b>Funzione</b>: Fornisce canale C2 persistente e monitora tutte le richieste HTTP.”] class action_c2 action %% Connections vuln_cisco –>|abilita| tech_exploit vuln_citrix –>|abilita| tech_exploit tech_exploit –>|porta a| action_rce action_rce –>|distribuisce| malware_webshell malware_webshell –>|usa| tech_obfuscate malware_webshell –>|usa| tech_hide malware_webshell –>|fornisce| action_c2 malware_webshell –>|è istanza di| tech_webshell
Flusso di Attacco
Simulazione di Payload
Esecuzione della Simulazione
Prerequisito: Il controllo pre-volo Telemetry & Baseline deve essere stato superato.
-
Narrativa dell’Attacco e Comandi:
Accesso Iniziale: L’attaccante scopre un endpoint di caricamento file non autenticato sull’interfaccia web Cisco ISE. -
Distribuzione di Web Shell: Utilizzando
curl, l’attaccante caricawebshell.jarcamuffato comeiseComponent.jar. Il JAR contiene un servlet malevolo che, una volta invocato, esegue codice Java arbitrario tramite reflection (java.lang.reflect.Method.invoke). -
Offuscamento: Il payload all’interno del servlet è crittato con DES e codificato con una variante custom di Base64 per evitare il pattern matching semplice.
-
Trigger di Esecuzione: L’attaccante invia una richiesta HTTP falsificata che provoca l’avvio del process ISE del servlet, risultando in un comando simile a:
java -cp /opt/cisco/ise/webapps/iseComponent.jar -Dpayload=DES:U2FsdGVkX1+... Base64:QmFzZTY0RW5jb2RlZURhdGE=Copy -
Logging: Cisco ISE logga un evento
IdentityAuditActioncon la linea di comando completa, soddisfacendo le condizioni della regola di rilevamento. -
Script di Test di Regressione:
#!/usr/bin/env bash set -euo pipefail # Variabili ISE_HOST="https://ise.example.com" UPLOAD_ENDPOINT="${ISE_HOST}/admin/uploadComponent" SHELL_JAR="webshell.jar" MALICIOUS_PAYLOAD="U2FsdGVkX1+..." # DES‑encrypted, custom Base64 CUSTOM_B64="QmFzZTY0RW5jb2RlZURhdGE="