高度な脅威アクターが、NetScaler ADCおよびGatewayにおける重大な脆弱性「Citrix Bleed 2」（CVE-2025-5777）と、Cisco Identity Service Engine（ISE）に影響するCVE-2025-20337をゼロデイとして悪用し、カスタムマルウェアを展開しました。 Amazonの脅威インテリジェンスチームは、「MadPot」ハニーポットデータを分析する中で、これら2つのセキュリティ問題が公に開示されパッチが提供される前に、ハッカーによって悪用されていたことを突き止めました。 「Amazon MadPotハニーポットサービスは、Citrix Bleed Twoの脆弱性（CVE-2025-5777）に対する悪用試行を、公開前に検知しました。これは、脅威アクターがこの脆弱性をゼロデイとして悪用していたことを示しています」とAmazonは説明しています。 「同じCitrixの脆弱性を悪用する脅威をさらに調査する中で、Amazon Threat Intelligenceは、Cisco ISEにおける未公開のエンドポイントを標的とする異常なペイロードを特定し、Ciscoと共有しました。このペイロードは、脆弱なデシリアライゼーションロジックを利用していました。」 Citrix Bleed 2は、NetScaler ADCおよびGatewayにおけるアウトオブバウンズメモリ読み取りの問題であり、ベンダーは6月下旬に修正を公開しました。 ベンダーは、この欠陥が攻撃で悪用されていたことを確認するまでにより長い期間を要しましたが、複数のサードパーティから攻撃で使用されているとの報告があったにもかかわらず、7月初旬にはエクスプロイトが公開され、CISAはこの脆弱性を悪用されているものとしてタグ付けしました。 ISEの脆弱性（CVE-2025-20337）は最大深刻度スコアを持ち、7月17日に公開されました。その際Ciscoは、この脆弱性が悪用されると、認証されていない攻撃者が悪意あるファイルを保存したり、任意コードを実行したり、脆弱なデバイス上でroot権限を取得したりできると警告しました。 5日も経たないうちに、ベンダーはCVE-2025-20337が実際に悪用されているとして警告を再発しました。7月28日には、研究者Bobby Gouldが、エクスプロイトチェーンを含む技術的詳細をまとめたレポートを公開しました。 BleepingComputerと共有されたレポートの中で、Amazonは、CiscoとCitrixが最初のセキュリティ情報を公開する前に、両方の脆弱性がAPT攻撃で悪用されていたと述べています。 ハッカーはCVE-2025-20337を利用してCisco ISEエンドポイントへの事前認証管理者アクセスを取得し、正規のISEコンポーネントに偽装した「IdentityAuditAction」という名称のカスタムWebシェルを展開しました。 このWebシェルはHTTPリスナーとして登録され、すべてのリクエストを傍受し、Javaリフレクションを用いてTomcatサーバースレッドにインジェクションを行いました。 また、ステルス性のために非標準のBase64エンコードを伴うDES暗号化を使用し、アクセスには特定のHTTPヘッダーの知識を必要とし、フォレンジック上の痕跡を最小限に抑えていました。 複数の未公開ゼロデイ脆弱性の使用、Java/Tomcatの内部構造およびCisco ISEアーキテクチャに関する高度な知識などから、非常に豊富なリソースを持つ高度な脅威アクターであることが示唆されます。しかし、Amazonはこの活動を既知の脅威グループのいずれにも帰属させることはできませんでした。 しかし興味深いことに、標的は無差別的であるように見え、この種の脅威アクターが通常行う、極めて限定的な範囲の標的型作戦とは一致しませんでした。 CVE-2025-5777およびCVE-2025-20337に対する利用可能なセキュリティアップデートを適用し、ファイアウォールや多層防御によってエッジネットワーク機器へのアクセスを制限することが推奨されます。 翻訳元:

「高度な」攻撃者がCitrixBleed 2および最大深刻度のCisco Identity Services Engine（ISE）のバグをゼロデイで悪用し、カスタムマルウェアを展開したと、Amazonの最高情報セキュリティ責任者（CISO）であるCJ Moses氏が述べています。 クラウド大手のMadPotハニーポットは、重要な脆弱性が公に開示される前に、CVE-2025-5777を通じてバグのあるCitrix NetScaler ADCおよびNetScaler Gatewayデバイスへの侵入を試みる正体不明の攻撃者を検知したと、Moses氏が水曜日のセキュリティブログで述べています。 CVE-2025-5777は、NetScaler GatewayおよびAAA仮想サーバーにおけるアウトオブバウンズリードの脆弱性で、リモート攻撃者がメモリ内容を漏洩させる可能性があります。セキュリティ研究者は、国家支援のスパイやランサムウェア集団がセッションの秘密情報を盗むことを可能にした元のCitrixBleedとの類似性から、これをCitrixBleed 2と名付けました。 Citrixは6月17日にCVE-2025-5777を公開し、修正を提供しましたが、その直後からバグハンターたちは、顧客がすぐにパッチを適用しなければ本当に、非常に深刻な事態になる可能性があると警告し始めました。 7月までに、米国サイバーセキュリティ・インフラセキュリティ庁および民間研究者は、この脆弱性が悪用されているとし、ユーザーセッションの乗っ取りに利用されていると述べましたが、Citrixは依然としてこの攻撃についてコメントしていません。 「Citrixの脆弱性を悪用する同じ脅威のさらなる調査を通じて、Amazon Threat Intelligenceは、Cisco ISEのこれまで文書化されていなかったエンドポイントを標的とし、脆弱なデシリアライズロジックを利用した異常なペイロードを特定し、Ciscoと共有しました」とMoses氏は書いています。 このこれまで文書化されていなかったCiscoのバグは、現在CVE-2025-20337として追跡されており、認証されていないリモート攻撃者がルート権限でオペレーティングシステム上で任意のコードを実行できるため、最大深刻度のCVSSスコア10が付与されました。 「この発見が特に懸念されたのは、CiscoがCVE番号を割り当てたり、Cisco ISEの全ての影響を受けるブランチに包括的なパッチをリリースする前に、実際に野放しで悪用が行われていたことです」とMoses氏は書いています。「このパッチギャップ悪用手法は、セキュリティアップデートを綿密に監視し、脆弱性を素早く武器化する高度な脅威アクターの特徴です。」 Ciscoは6月25日にこの脆弱性を最初に警告し、7月21日に勧告を更新して、「2025年7月、Cisco PSIRTはこれらの脆弱性の一部が野放しで悪用されている試みを認識しました」と記載しました。 Ciscoのバグを悪用した後、犯罪者はCisco ISE環境向けに特別に設計された高度な回避能力を持つカスタムバックドアを展開しました。これはメモリ上で動作し、「最小限」のフォレンジック痕跡しか残さず、Javaリフレクションを用いて実行中のスレッドに自身を注入したと、クラウド大手の脅威インテリジェンスチームは述べています。 このマルウェアはまた、Tomcatサーバー全体のすべてのHTTPリクエストを監視するリスナーとして登録され、検知を回避するために非標準のBase64エンコードを使ったDES暗号化を利用し、アクセスには特定のHTTPヘッダーの知識が必要でした。これらすべてが、単なるスクリプトキディではなく、Cisco ISEやエンタープライズJavaアプリケーションに深い知識を持つ攻撃者であることを示していました。 さらに、侵入者がCiscoの脆弱性とCitrixBleed 2の両方をゼロデイとして利用できたことは、「高度な脆弱性研究能力、または非公開の脆弱性情報へのアクセス権を持つ非常にリソースのある脅威アクター」であることを示しています。 CiscoもCitrixも、ゼロデイを誰がどのような目的で悪用したのかなど、The Registerの問い合わせにすぐには回答しませんでした。回答があり次第、本記事を更新します。® 翻訳元:

A threat actor was seen exploiting two critical Citrix and Cisco vulnerabilities as zero-days weeks before patches were released

Amazon warns that an advanced threat actor exploited zero-days in Cisco ISE and Citrix NetScaler to deploy custom malware.

An advanced threat actor exploited the critical vulnerabilities "Citrix Bleed 2" (CVE-2025-5777) in NetScaler ADC and Gateway, and CVE-2025-20337 affecting Cisco Identity Service Engine (ISE) as zero-...

An APT hammered critical bugs in Citrix NetScaler (CVE-2025-5777) and Cisco ISE (CVE-2025-20337) in a sign of growing adversary interest in IAM systems.

The Amazon threat intelligence team has identified an advanced threat actor exploiting previously undisclosed zero-day vulnerabilities in Cisco Identity Service Engine (ISE) and Citrix systems. The ca...

Amazonによると、脅威アクターがパッチ公開前の数週間、CitrixとCiscoの2つの重大な脆弱性をゼロデイとして悪用していたことが確認されました。 Citrixの脆弱性（CVE-2025-5777、CVSSスコア9.3）は、NetScaler ADCおよびNetScaler Gatewayにおける不十分な入力検証により、メモリの範囲外読み取りが発生する問題です。 この脆弱性は6月17日に修正され、その直後、セキュリティ研究者のKevin BeaumontによってCitrixBleed 2と名付けられました。彼は、攻撃者が多要素認証を回避できたCitrixBleedバグ（CVE-2023-4966）と比較しました。 約1週間後、CitrixBleed 2を標的とした最初の悪用の試みが確認され、さらに数日後には技術的な詳細やエクスプロイトが公開されました。7月中旬には、CISAがこの脆弱性が連邦機関にとって容認できないリスクであると警告しました。 現在、Amazonは、自社のハニーポットサービスがこの脆弱性の公表前に悪用の試みを検知していたと述べています。同社によると、APTが「ゼロデイとしてこの脆弱性を悪用していた」とのことです。 Amazonの調査では、CVE-2025-20337（CVSSスコア10/10）というCisco Identity Service Engine（ISE）の脆弱性についてもゼロデイ悪用が明らかになりました。この脆弱性は7月16日に公表されました。 ISEおよびISE Passive Identity Connector（ISE-PIC）の特定のAPIに影響し、認証されていない攻撃者が基盤となるオペレーティングシステム上でroot権限で任意のコードを実行できてしまいます。 脆弱性の公開直後、Ciscoは、脅威アクターが実際にこの脆弱性を悪用している証拠があると警告しました。同じAPIのもう一つの重大なバグ（CVE-2025-20281）も同時に悪用されていました。 広告。スクロールして読み続けてください。 Amazonの新たな報告によると、Cisco ISEの脆弱性の実際の悪用は、包括的なパッチがリリースされる前に始まっていました。 APTは正規のISEコンポーネントを装ったカスタムWebシェルを展開しており、このWebシェルはメモリ上で動作し、Javaリフレクションを利用して実行中のスレッドに自身を注入していました。 このマルウェアはISE環境を特に標的としたバックドアで、Tomcatサーバー上のすべてのHTTPリクエストを監視し、非標準のBase64エンコードを用いたDES暗号化で検知を回避でき、特定のHTTPヘッダー経由でのみアクセス可能でした。 「脅威アクターのカスタムツールは、エンタープライズJavaアプリケーション、Tomcat内部構造、Cisco Identity Service Engineの特有のアーキテクチャ的特徴について深い理解があることを示していました」とAmazonは述べています。 同社は、攻撃は高度なリソースを持つ脅威アクターによって組織的に行われており、未公開のゼロデイにアクセスできたのは、高度な脆弱性調査能力によるものか、非公開の脆弱性情報へのアクセスがあったためだと考えています。 SecurityWeekが攻撃を特定の脅威アクターに結びつけられたかどうか尋ねたところ、Amazonは帰属に関する情報は共有できないと回答しました。 翻訳元:

An advanced threat actor exploited the critical vulnerabilities "Citrix Bleed 2" (CVE-2025-5777) in NetScaler ADC and Gateway, and CVE-2025-20337 affecting Cisco Identity Service Engine (ISE) as zero-days to deploy custom malware. [...]

CitrixBleed 2 (CVE-2025-5777) is a critical information-disclosure vulnerability impacting NetScaler ADC and Gateway systems, allowing unauthorized attackers to bypass MFA, hijack admin sessions, and establish unauthorized VDE sessions. This zero-day was exploited by an unnamed APT group before a patch was released.

Introduction In 2025, critical vulnerabilities in enterprise identity and access management systems have emerged as a prime target for advanced threat actors. The "CitrixBleed 2" bug (CVE-2025-5777) in Citrix NetScaler and a max-critical flaw in Cisco Identity Services Engine (CVE-2025-20337) illustrate the growing sophistication of attacks on authentication and access systems. Organizations that rushed to patch these vulnerabilities may still be at risk, as attackers have been exploiting these flaws preemptively, highlighting the urgent need for robust identity-focused security strategies.

The hackers notably used custom malware and were exploiting CVE-2025-5777 — now known colloquially as “Citrix Bleed Two” — before it was disclosed publicly in July.

An advanced threat actor is actively exploiting two new zero-day vulnerabilities, CVE-2025-20337 in Cisco ISE and CVE-2025-5777 in Citrix NetScaler, to compromise network access control systems.

ハッカーはカスタムマルウェアを使用し、複数の脆弱性にアクセスできる能力を示しているとAmazonの研究者が警告しています。 Getty Images 高度な持続的脅威（APT）アクターがCisco Identity Service EngineおよびCitrixのゼロデイ脆弱性を標的にしていると、水曜日に公開されたブログ記事でAmazonのセキュリティ研究者が述べています。 Amazonは以前、MadPotハニーポットサービスを通じて、CVE-2025-5777として追跡されているCitrixBleed 2脆弱性を標的とした脅威活動を検出したと述べています。この検出は、公開前に悪用活動が行われていたことを示していました。Citrixは6月にガイダンスを公開し、CitrixBleed 2への対応を行いました。 追加調査により、Cisco ISEのこれまで文書化されていなかったエンドポイントを標的とした「異常なペイロード」が発見されました。これは脆弱なデシリアライズロジックを利用していたと、Amazon Integrated SecurityのCISOであるCJ Moses氏がブログで述べています。 この脆弱性はCVE-2025-20337として追跡されており、攻撃者がCisco ISEで認証前のリモートコード実行を達成できるようにします。これにより、侵害されたシステムへの管理者レベルのアクセスが可能となります。 ハッカーは、IdentityAuditActionという正規のCisco ISEコンポーネントに偽装したカスタムWebシェルを展開しました。Amazonの研究者によると、このマルウェアは市販品ではなく、Cisco ISE環境を標的とするために特別に設計されたバックドアでした。 Ciscoは以前、問題に対処するためのソフトウェアアップデートを公開しています。 翻訳元:

The Amazon threat intelligence team has identified an advanced threat actor exploiting previously undisclosed zero-day vulnerabilities in Cisco Identity Service Engine (ISE) and Citrix systems. The ca...

A critical Citrix zero-day vulnerability (CVE-2025-5777) led to a major data breach at the U.S. Department of Homeland Security, exposing employee data from FEMA and CBP.