- CVE-2025-20337 Cisco ISE permite la ejecución remota de código no autorizado en sistemas
- Los atacantes implementaron shells web personalizados en memoria con técnicas avanzadas de evasión y cifrado
- La explotación fue generalizada e indiscriminada, sin características específicas de industria o actor.
Los actores de amenazas “sofisticados” están utilizando vulnerabilidades de día cero de máxima gravedad en los sistemas Cisco Identity Services Engine (ISE) y Citrix para implementar malware de puerta trasera personalizado, afirman los expertos.
El equipo de inteligencia de amenazas de Amazon dijo que recientemente se topó con una validación insuficiente de la vulnerabilidad de entrada proporcionada por el usuario en las implementaciones de Cisco ISE, lo que permite la ejecución remota de código de autenticación previa en puntos finales comprometidos y el acceso a nivel de administrador a los sistemas.
Los investigadores descubrieron la intrusión mientras investigaban una vulnerabilidad de Citrix Bleed Two que también fue explotada como día cero. El error recién encontrado ahora se rastrea como CVE-2025-20337 y se le asigna una puntuación de gravedad de 10/10 (crítico).
Ocultar malware en fuentes personalizadas
“Una vulnerabilidad en una API específica en Cisco ISE y Cisco ISE-PIC podría permitir que un atacante remoto no autorizado ejecute código arbitrario en el sistema operativo subyacente como raíz”, explica la página de NVD.
“Un atacante no necesita ninguna credencial válida para explotar esta vulnerabilidad”, agrega el aviso, enfatizando que un atacante podría explotarla enviando una solicitud API diseñada.
La vulnerabilidad se utilizó para implementar un shell web personalizado disfrazado de un componente legítimo de Cisco ISE llamado IdentityAuditAction, explicó Amazon con más detalle, y agregó que el malware no era genérico ni estaba disponible en el mercado, sino que estaba hecho a medida y diseñado específicamente para el entorno de Cisco ISE.
El shell web funciona completamente en memoria, utiliza la reflexión de Java para inyectarse en los subprocesos en ejecución y viene con capacidades de evasión avanzadas, incluido el registro como oyente para monitorear todas las solicitudes HTTP en el servidor Tomcat. Implementó cifrado DES con codificación base64 no estándar y requirió conocimiento de ciertos encabezados HTTP para acceder.
Amazon no atribuyó el ataque a ningún actor de amenaza específico y dijo que el ataque no estaba dirigido a ninguna industria u organización específica. En cambio, se utilizó arbitrariamente y contra tantas organizaciones como fuera posible.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Para noticias, reseñas, unboxing en forma de videos y reciba nuestras actualizaciones periódicas WhatsApp muy
