Amazon 威脅情報團隊近日揭露,一個高階進階持續性威脅(APT)組織在官方發布修補程式前,就已利用 Citrix NetScaler 與 Cisco Identity Service Engine 的重大漏洞發動零日攻擊。這意味著即使企業已及時修補系統,仍可能在修補前就已遭到入侵,資安團隊應立即進行全面檢查。
Amazon 整合安全部門首席資訊安全長 CJ Moses 近日發布報告指出,該公司透過 MadPot 蜜罐網路偵測到攻擊者在今年 5 月就開始利用 Citrix NetScaler ADC 與 Gateway 的 CVE-2025-5777 漏洞,時間點遠早於 Citrix 在 6 月 17 日發布修補程式。這個被安全研究人員 Kevin Beaumont 命名為「
CitrixBleed 2」的漏洞,嚴重性評分高達 CVSS 9.3 分,攻擊者可利用此漏洞繞過身份驗證,劫持任何 NetScaler 連線階段或建立遠端桌面連線。
Amazon 威脅情報團隊在追蹤同一批攻擊者時,發現他們同時針對 Cisco Identity Service Engine(ISE)部署攻擊,利用另一個零日漏洞
CVE-2025-20337。這個漏洞的嚴重性達到 CVSS 滿分 10.0 分,允許未經身份驗證的攻擊者以 root 權限在受影響系統上執行任意程式碼。關鍵在於,這些攻擊活動發生在 Cisco 於 7 月正式分配 CVE 編號並發布修補程式之前。
Moses 在報告中表示,「這次發現特別令人擔憂的是,在 Cisco 分配 CVE 編號或發布全面修補程式之前,漏洞就已遭到利用。這種修補空窗期利用(patch-gap exploitation)技術,是資源充足的高階威脅行為者的特徵,他們密切監控安全更新並快速將漏洞武器化。」
漏洞技術細節與攻擊手法
CVE-2025-5777 是一個輸入驗證不足(insufficient input validation)漏洞,存在於 Citrix NetScaler ADC 和 Gateway 元件中。根據 Beaumont 的分析,攻擊者可利用這個邊界外記憶體讀取(out-of-bounds memory read)問題,加入任何 NetScaler 連線階段、建立 Citrix VDE 桌面連線,或劫持正在運作中的 NetScaler 管理員連線階段。雖然 Citrix 在揭露時表示沒有利用證據,但 Beaumont 警告威脅行為者實際上已將此漏洞當作零日漏洞利用達一個月之久。
至於 CVE-2025-20337,這是一個影響 Cisco ISE 和 Cisco ISE Passive Identity Connector(ISE-PIC)的反序列化邏輯漏洞。Amazon 威脅情報團隊在調查攻擊 Citrix 漏洞的同一威脅行為者時,發現了一個針對 Cisco ISE 先前未記錄端點的異常載荷,該載荷利用了存在漏洞的反序列化邏輯。這個漏洞允許攻擊者在取得身份驗證前(pre-authentication)就能獲得遠端程式碼執行(RCE)能力,並以 root 權限在受影響裝置上儲存惡意檔案、執行任意程式碼或取得最高權限。
客製化惡意程式鎖定身份管理系統
分析顯示,攻擊者利用 Cisco ISE 漏洞部署了一個名為「IdentityAuditAction」的客製化 Web Shell,偽裝成合法的 Cisco ISE 元件。這個惡意程式展現高度技術複雜性,完全在記憶體中執行,使用 Java 反射技術注入 Tomcat 伺服器執行緒。
該 Web Shell 註冊為 HTTP 監聽器,能夠攔截 Tomcat 伺服器上的所有請求。為了躲避偵測,它採用 DES 加密與非標準 Base64 編碼進行通訊混淆。此外,該惡意程式需要特定的 HTTP 標頭知識才能存取,並且設計成幾乎不留下鑑識痕跡,使得事後調查極為困難。
Moses 指出,
攻擊者的工具組複雜度,加上同時利用兩個不同零日漏洞的能力,顯示這是一個具備深厚技術能力的威脅行為者,對 Citrix 和 Cisco 程式碼庫都有深入了解,更熟悉企業 Java 應用程式、Tomcat 內部運作以及 Cisco ISE 架構。
身份基礎架構成為攻擊焦點
這次攻擊凸顯了一個日益嚴重的趨勢,高階威脅行為者越來越關注企業用於身份驗證和管理角色型存取控制的系統。針對 Cisco ISE 的攻擊特別危險,因為這類系統負責執行安全政策,管理端點、雲端應用程式和基礎架構的身份驗證。一旦這些系統遭到入侵,攻擊者就能繞過使用者控制、掌控 VPN 與遠端存取閘道,並獲得幾乎無法偵測的廣泛存取權限。
Horizon3.ai 資深安全研究員 Jimi Sebree 表示,針對這類高價值應用程式的攻擊並非全新趨勢,HeartBleed 和先前的 CitrixBleed 就是前例。但這次事件確實突顯了企業需要對任何可公開存取的端點保持高度警覺,「因為很明顯,並非所有安全問題都會在實際利用前被發現和修復。」
ReliaQuest 基於 2025 年第三季威脅活動分析的最新報告顯示,身份相關問題已成為雲端風險的首要來源,佔所有正面警示的 44%。其中超過半數(52%)的身份警示涉及權限提升,而 99% 的雲端身份被發現擁有過高權限。
企業應立即採取行動
資安專家建議,企業應立即檢查受影響的 Citrix NetScaler 和 Cisco ISE 系統,即使已經安裝修補程式。由於攻擊發生在修補程式發布前,系統可能在修補前就已遭到入侵。
Sectigo 資深研究員 Jason Soroko 建議,組織應該將邊緣和身份管理設備視為已經存在漏洞,專注於減少爆炸半徑,並準備可在數小時內啟動的補償控制措施。他強調,
企業必須從「以修補為中心」轉向「以暴露面為中心」的思維,從單純預防轉向「預防加上快速偵測與遏制」。
Qualys 威脅研究部門安全研究經理 Mayuresh Dani 認為,這些攻擊顯示威脅行為者刻意針對 Cisco ISE 和 Citrix 設備,目標是破壞執行安全邊界的基礎架構。
具體建議包括:隔離管理平面、限制誰和什麼可以存取這些服務、建立高保真度的日誌記錄、審查並消除過度授權的帳號、啟用異常偵測以識別可疑的使用者行為(如來自可疑地點或時間的身份驗證),以及限制對關鍵系統的外部存取。企業也應該能夠快速撤銷權杖、輪換金鑰和憑證,以便在偵測到異常活動時迅速回應。