- CVE-2025-20337 memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi dalam sistem Cisco ISE
- Penyerang menyebarkan shell web dalam memori khusus dengan teknik penghindaran dan enkripsi tingkat lanjut
- Eksploitasi terjadi secara luas dan tidak pandang bulu, tanpa ada kaitan dengan industri atau pelaku tertentu
Pelaku ancaman “canggih” telah menggunakan kerentanan zero-day dengan tingkat keparahan maksimum di Cisco Identity Service Engine (ISE) dan sistem Citrix untuk menerapkan pintu belakang khusus perangkat lunak perusakklaim para ahli.
Amazontim intelijen ancaman dikatakan baru-baru ini mereka menemukan validasi yang tidak memadai atas kerentanan input yang disediakan pengguna dalam penerapan Cisco ISE, sehingga mencapai eksekusi kode jarak jauh pra-otentikasi pada titik akhir yang disusupi dan menyediakan akses tingkat administrator ke sistem.
Para peneliti menemukan intrusi tersebut saat menyelidiki a Citrix Berdarah Dua kerentanan yang juga dieksploitasi sebagai zero-day. Bug yang baru ditemukan sekarang dilacak sebagai CVE-2025-20337 dan telah diberi skor tingkat keparahan 10/10 (kritis).
Menyembunyikan malware di font khusus
“Kerentanan dalam API spesifik Cisco ISE dan Cisco ISE-PIC dapat memungkinkan penyerang jarak jauh yang tidak diautentikasi mengeksekusi kode arbitrer pada server yang mendasarinya. sistem operasi sebagai root,” halaman NVD menjelaskan.
“Penyerang tidak memerlukan kredensial yang valid untuk mengeksploitasi kerentanan ini,” tambah penasihat tersebut, menekankan bahwa penyerang dapat mengeksploitasinya dengan mengirimkan permintaan API yang dibuat.
Kerentanan tersebut digunakan untuk menyebarkan shell web khusus yang disamarkan sebagai komponen Cisco ISE yang sah bernama IdentityAuditAction, Amazon lebih lanjut menjelaskan, mencatat bahwa malware tersebut tidak khas, atau siap pakai, melainkan dibuat khusus dan dirancang khusus untuk lingkungan Cisco ISE.
Shell web hadir dengan kemampuan penghindaran tingkat lanjut, termasuk beroperasi sepenuhnya di dalam memori, menggunakan refleksi Java untuk memasukkan dirinya ke dalam thread yang sedang berjalan, dan mendaftar sebagai pendengar untuk memantau semua permintaan HTTP di seluruh server Tomcat. Itu juga menerapkan enkripsi DES dengan pengkodean Base64 non-standar, dan memerlukan pengetahuan tentang header HTTP tertentu untuk mengaksesnya.
Amazon tidak mengaitkan serangan tersebut dengan pelaku ancaman tertentu, dan mengatakan bahwa serangan tersebut tidak ditargetkan pada industri atau organisasi tertentu. Sebaliknya, hal ini digunakan tanpa pandang bulu dan melawan sebanyak mungkin organisasi.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
