Amazon ha recentemente rivelato una campagna di attacchi informatici avanzati che ha sfruttato due pericolose vulnerabilità zero-day, una nei prodotti Cisco Identity Service Engine (ISE) e l'altra nei dispositivi Citrix NetScaler ADC. Questi attacchi hanno avuto come obiettivo l’installazione di malware personalizzato, confermando la crescente attenzione dei cyber criminali verso le infrastrutture di controllo degli accessi di rete e di identità, elementi chiave per la sicurezza aziendale.

Scoperta tramite honeypot e dettagli delle vulnerabilità

La scoperta è avvenuta grazie al sistema di honeypot MadPot di Amazon, che ha rilevato attività malevole riconducibili a due precise vulnerabilità: la prima, identificata come CVE-2025-5777 o Citrix Bleed 2, permette di bypassare i meccanismi di autenticazione nei dispositivi Citrix NetScaler; la seconda, CVE-2025-20337, consente l'esecuzione di codice da remoto senza autenticazione nei sistemi Cisco ISE, aprendo così la porta a compromissioni totali da parte di attaccanti remoti.

Sfruttamento attivo e tecniche di attacco

Entrambe le falle sono state attivamente sfruttate prima che fossero disponibili patch ufficiali, mostrando come i criminali informatici siano in grado di condurre ricerche avanzate sulle vulnerabilità o di accedere a informazioni riservate prima della divulgazione pubblica. L’analisi di Amazon ha rivelato che l’obiettivo finale era l’installazione di una web shell customizzata, mascherata da componente legittimo di Cisco ISE. Questo malware agisce in memoria, si inietta tramite tecniche di Java reflection nei thread attivi del server Tomcat e utilizza cifratura DES con una codifica Base64 non standard per sfuggire ai sistemi di difesa.

Implicazioni per la sicurezza aziendale

La campagna, descritta come indiscriminata, riflette un alto livello di risorse e competenze da parte degli attaccanti, che dimostrano padronanza sia degli exploit zero-day sia degli aspetti interni delle applicazioni Java enterprise e delle piattaforme Cisco. Questo episodio sottolinea la necessità per le aziende di limitare l’accesso alle interfacce di amministrazione di rete tramite firewall e misure di accesso stratificato.

Difesa in profondità e mitigazione

Un altro aspetto critico emerso è che la natura di tipo pre-autenticazione di queste vulnerabilità rende vulnerabili anche i sistemi ben configurati e costantemente aggiornati, evidenziando l’importanza di strategie di difesa in profondità e di capacità di rilevamento di comportamenti anomali. Investire in strumenti di monitoraggio avanzati e in una segmentazione rigorosa delle reti diventa fondamentale per mitigare il rischio di attacchi sofisticati contro dispositivi di frontiera e sistemi di autenticazione.