Przestępcy wykorzystali lukę dnia zerowego o maksymalnej wadze w systemach Cisco Identity Service Engine (ISE) i Citrix w celu wdrożenia niestandardowego szkodliwego oprogramowania typu backdoor. Zespół analityki zagrożeń Amazona zidentyfikowany niewystarczająca weryfikacja luki w zabezpieczeniach danych wejściowych dostarczonych przez użytkownika we wdrożeniach Cisco ISE. Umożliwiło to zdalne wykonanie kodu przed uwierzytelnieniem na zaatakowanych punktach końcowych, zapewniając dostęp na poziomie administratora. Błąd, śledzony jako CVE-2025-20337ma stopień ważności 10/10 (krytyczny). Badacze odkryli to włamanie podczas badania luki w Citrix Bleed Two, wykorzystywanej również jako dzień zerowy. Według strona NVD„Luka w konkretnym interfejsie API Cisco ISE i Cisco ISE-PIC może pozwolić nieuwierzytelnionemu zdalnemu atakującemu na wykonanie dowolnego kodu w podstawowym systemie operacyjnym jako root”. W poradniku stwierdza się, że „osoba atakująca nie potrzebuje żadnych ważnych danych uwierzytelniających, aby wykorzystać tę lukę”, wskazując, że exploity mają miejsce poprzez przesłanie spreparowanego żądania API. Atakujący wdrożyli niestandardową powłokę internetową udającą legalny komponent Cisco ISE o nazwie IdentityAuditAction. Amazon wyjaśnił, że to złośliwe oprogramowanie nie jest gotowe, ale stworzone na zamówienie dla środowisk Cisco ISE. Powłoka internetowa działała całkowicie w pamięci, wykorzystywała odbicie Java do wstrzykiwania do działających wątków i rejestrowała się jako odbiornik w celu monitorowania żądań HTTP na serwerze Tomcat. Zaimplementowano także szyfrowanie DES z niestandardowym kodowaniem Base64. Uzyskaj dostęp do wymaganej wiedzy na temat konkretnych nagłówków HTTP. Amazon nie przypisał ataków żadnemu konkretnemu ugrupowaniu zagrażającemu, stwierdzając, że ataki nie były ukierunkowane, ale wykorzystane bezkrytycznie przeciwko licznym organizacjom.
