Tin tặc khai thác lỗ hổng Citrix và Cisco ISE trong các cuộc tấn công zero-day

11:00 | 15/11/2025

Một tác nhân đe dọa đã khai thác lỗ hổng nghiêm trọng Citrix Bleed 2 (CVE-2025-5777) trong NetScaler ADC and Gateway và CVE-2025-20337, ảnh hưởng đến Cisco Identity Service Engine (ISE) dưới dạng lỗ hổng zero-day để triển khai phần mềm độc hại tùy chỉnh.

Nhóm tình báo mối đe dọa của Amazon, khi phân tích dữ liệu honeypot “MadPot”, các nhà nghiên cứu cho biết tin tặc lợi dụng hai sự cố bảo mật trước khi chúng được công khai. Amazon giải thích: “Dịch vụ honeypot Amazon MadPot của chúng tôi phát hiện các nỗ lực khai thác lỗ hổng Citrix Bleed 2, cho thấy kẻ tấn công đã khai thác CVE-2025-5777 như một lỗ hổng zero-day. Thông qua quá trình điều tra sâu hơn về cùng một mối đe dọa khai thác lỗ hổng Citrix, Amazon Threat Intelligence xác định và chia sẻ với Cisco một payload bất thường nhắm vào điểm cuối chưa được ghi nhận trước đó trong Cisco ISE”.

Citrix Bleed 2 liên quan đến lỗi đọc bộ nhớ ngoài giới hạn của NetScaler ADC and Gateway mà nhà cung cấp đã phát hành bản cập nhật vào cuối tháng 6/2025.

Lỗ hổng CVE-2025-20337 (mức độ nghiêm trọng tối đa) được công bố vào ngày 17/7, khi Cisco cảnh báo lỗ hổng này có thể bị khai thác để cho phép kẻ tấn công chưa xác thực lưu trữ các tệp độc hại, thực thi mã tùy ý hoặc giành được quyền root trên các thiết bị dễ bị tấn công.

Trong vòng chưa đầy năm ngày, nhà cung cấp đã tái cảnh báo về việc CVE-2025-20337 đang bị khai thác. Vào ngày 28/7, nhà nghiên cứu bảo mật Bobby Gould công bố chi tiết kỹ thuật, bao gồm cả phân tích chuỗi khai thác.

Thông báo chia sẻ với trang tin BleepingComputer, Amazon cho biết cả hai lỗ hổng trên đều được tin tặc sử dụng trong các cuộc tấn công APT trước khi Cisco và Citrix công bố bản tin bảo mật đầu tiên của họ.

Các tác nhân đe dọa lợi dụng CVE-2025-20337 để giành được quyền truy cập quản trị, trước khi xác thực vào các điểm cuối của Cisco ISE và triển khai một web shell tùy chỉnh có tên “IdentityAuditAction”, ngụy trang thành một thành phần ISE hợp pháp. Web shell được đăng ký là trình lắng nghe HTTP để chặn mọi yêu cầu và sử dụng Java reflection để nhúng vào luồng máy chủ Tomcat.

Việc sử dụng nhiều lỗ hổng zero-day chưa được tiết lộ cùng với kiến thức chuyên sâu về Java/Tomcat và Cisco ISE đều cho thấy một tác nhân đe dọa có nguồn lực mạnh mẽ và tiên tiến. Tuy nhiên, Amazon không thể xác định hoạt động này thuộc về một nhóm tin tặc nào đã biết. Tuy nhiên, điều kỳ lạ là việc nhắm mục tiêu có vẻ không phân biệt và không phù hợp với phạm vi hẹp thường thấy của những tác nhân đe dọa như vậy.

Các nhà nghiên cứu khuyến nghị các tổ chức, doanh nghiệp nên áp dụng các bản cập nhật bảo mật có sẵn cho CVE-2025-5777 và CVE-2025-20337, đồng thời hạn chế quyền truy cập vào các thiết bị mạng biên thông qua tường lửa.