Gelişmiş bir tehdit aktörü, NetScaler ADC ve Gateway'deki kritik güvenlik açıklarından "Citrix Bleed 2" (CVE-2025-5777) ve Cisco Identity Service Engine'i (ISE) etkileyen CVE-2025-20337'yi özel kötü amaçlı yazılımları dağıtmak için sıfır gün olarak kullandı.
Amazon'un tehdit istihbarat ekibi, "MadPot" bal küpü verilerini analiz ederek, bilgisayar korsanlarının, güvenlik sorunları kamuya açıklanmadan ve yamalar kullanıma sunulmadan önce iki güvenlik sorununu kullandığını tespit etti.
Amazon, "Amazon MadPot honeypot hizmetimiz, kamuya açıklanmadan önce Citrix Bleed Two güvenlik açığına (CVE-2025-5777) yönelik istismar girişimlerini tespit etti; bu, bir tehdit aktörünün güvenlik açığından sıfır gün olarak yararlandığını gösteriyor" diye açıklıyor.
"Amazon Tehdit İstihbaratı, Citrix güvenlik açığından yararlanan aynı tehdidin daha ayrıntılı araştırılmasıyla, Cisco ISE'de savunmasız seri durumdan çıkarma mantığını kullanan daha önce belgelenmemiş bir uç noktayı hedef alan anormal bir veri tespit etti ve Cisco ile paylaştı."
Citrix Bleed 2, satıcının Haziran ayı sonlarında düzeltmeler yayınladığı bir NetScaler ADC ve Ağ Geçidi sınır dışı bellek okuma sorunudur.
Satıcının, kusurun saldırılarda kullanıldığını doğrulamak için daha uzun bir süreye ihtiyacı olmasına rağmen, saldırılarda kullanıldığını iddia eden çok sayıda üçüncü taraf raporuna rağmen, açıklardan yararlanma olanakları Temmuz ayı başlarında kullanıma sunuldu ve CISA bunu kötüye kullanım olarak etiketledi.
Maksimum ciddiyet puanına sahip ISE'deki kusur (CVE-2025-20337), 17 Temmuz'da Cisco'nun, kimliği doğrulanmamış bir saldırganın kötü amaçlı dosyaları depolamasına, rastgele kod yürütmesine veya savunmasız cihazlarda kök ayrıcalıkları kazanmasına izin vermek için bu kusurdan yararlanılabileceği konusunda uyarmasıyla yayımlandı.
Satıcı, beş günden kısa bir süre içinde CVE-2025-20337'nin aktif olarak kullanıldığına ilişkin uyarısını yeniden yayınladı. 28 Temmuz'da araştırmacı Bobby Gould, bir istismar zincirini de içeren bir yazıda teknik ayrıntıları yayınladı.
Amazon, BleepingComputer ile paylaşılan bir raporda, Cisco ve Citrix'in ilk güvenlik bültenlerini yayınlamasından önce her iki kusurun da APT saldırılarında kullanıldığını söylüyor.
Bilgisayar korsanları, Cisco ISE uç noktalarına kimlik doğrulama öncesi yönetici erişimi sağlamak için CVE-2025-20337'den yararlandı ve meşru bir ISE bileşeni olarak gizlenen 'IdentityAuditAction' adlı özel bir web kabuğu dağıttı.
Web kabuğu, tüm istekleri engellemek için bir HTTP dinleyicisi olarak kaydoldu ve Tomcat sunucu iş parçacıklarına enjekte etmek için Java yansımasını kullandı.
Ayrıca gizlilik için standart dışı base64 kodlamalı DES şifrelemesi kullandı, erişim için belirli HTTP başlıklarına ilişkin bilgi gerektirdi ve geride minimum adli iz bıraktı.
Açıklanmayan çok sayıda sıfır gün kusurunun kullanılması ve Java/Tomcat dahili bileşenleri ile Cisco ISE mimarisine ilişkin gelişmiş bilgi birikiminin tümü, yüksek kaynaklara sahip ve gelişmiş bir tehdit aktörüne işaret ediyor. Ancak Amazon, etkinliği bilinen bir tehdit grubuna bağlayamadı.
Ancak ilginçtir ki hedefleme gelişigüzel görünüyordu ve bu da bu tür tehdit aktörlerinin gerçekleştirdiği yüksek hedefli operasyonların tipik dar kapsamına uymuyordu.
CVE-2025-5777 ve CVE-2025-20337 için mevcut güvenlik güncellemelerinin uygulanması ve güvenlik duvarları ve katmanlama yoluyla uç ağ cihazlarına erişimin sınırlandırılması önerilir.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Microsoft Kasım 2025 Yaması Salı, 1 sıfır gün, 63 kusuru düzeltti
Synology, Pwn2Own İrlanda'da tanıtılan BeeStation sıfır günlerini düzeltti
QNAP, Pwn2Own'da istismar edilen yedi NAS sıfır gün kusurunu düzeltti
Eski L3Harris yöneticisi, siber güvenlik açıklarını Rus komisyoncuya satmaktan suçlu
İtalyan casus yazılım satıcısı Chrome'un sıfır gün saldırılarıyla bağlantılı
Kaynak: Bleeping Computer