Zbliżający się Black Friday tradycyjnie oznacza wzmożoną aktywność cyberprzestępców. Tym razem na radarze znalazły się nie sklepy internetowe czy konta klientów, ale krytyczna infrastruktura bezpieczeństwa, z której korzystają przedsiębiorstwa na całym świecie. Dyrektor ds. bezpieczeństwa informacji Amazon, CJ Moses, potwierdził, że cyberprzestępca wykorzystywał jednocześnie dwa nieznane wcześniej błędy typu zero-day: CVE-2025-5777 (Citrix Bleed Two) oraz CVE-2025-20337 w Cisco Identity Services Engine (ISE).
Amazon podkreśla, że nie chodzi o kolejną lukę w usługach AWS ani o rzekome przejęcia kont konsumenckich. Stawką były systemy tożsamości i kontroli dostępu do sieci – elementy, które decydują o tym, kto i na jakich zasadach może łączyć się z firmowymi zasobami.
Atak wykrył MadPot, rozbudowana infrastruktura honeypotów Amazona, czyli kontrolowanych „pułapek” udających podatne systemy. To właśnie MadPot zarejestrował próby wykorzystania luki w Citrix NetScaler, zanim została ona publicznie ujawniona.
W trakcie analizy tego ruchu zespół Amazon Threat Intelligence zauważył nietypowy ładunek kierowany do nieudokumentowanego wcześniej endpointu w Cisco ISE. Okazało się, że ten endpoint wykorzystuje podatną logikę deserializacji – błąd, który pozwala wstrzyknąć i wykonać złośliwy kod jeszcze przed procesem uwierzytelniania. W efekcie powstał drugi zero-day, dziś oznaczony jako CVE-2025-20337.
Atakujący był w stanie dostać się „przed drzwi” systemu tożsamości, ominąć wszelkie loginy i hasła, a następnie przejąć uprawnienia administratora na serwerach Cisco ISE.
Sprawdź też: Darmowa bramka proxy
Dwa zero-day, jeden cel. Krytyczna infrastruktura tożsamości
CVE-2025-5777, określana potocznie jako Citrix Bleed Two, dotyczy rozwiązań Citrix NetScaler ADC i Gateway – urządzeń, które często stoją na granicy sieci i pośredniczą w zdalnym dostępie pracowników i partnerów do firmowych systemów.
CVE-2025-20337 w Cisco ISE to z kolei luka o krytycznej skali ryzyka, umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia. Według analiz specjalistów błąd ten otwiera drogę do pełnej, administracyjnej kontroli nad wdrożonym systemem ISE, który zarządza tym, kto i na jakich zasadach może podłączyć się do sieci firmowej.
Połączenie obu podatności sprawia, że atakujący może najpierw uzyskać przyczółek na brzegu sieci (Citrix), a następnie przenieść się w głąb kluczowej infrastruktury tożsamości (Cisco ISE). Amazon podkreśla, że podczas śledztwa zaobserwowano wykorzystywanie obu luk jako zero-dayów – zanim powstały numery CVE i zanim producenci opublikowali pełne poprawki.
To klasyczny przykład tzw. patch-gap exploitation. Czyli momentu pomiędzy częściowym ujawnieniem problemu lub jego wewnętrznym rozpoznaniem a pełną, dostępną dla klientów łatką – okna, które zaawansowani gracze starają się maksymalnie wykorzystać.
Niestandardowy webshell: IdentityAuditAction
Po udanym włamaniu atakujący nie instalował typowego, znanego z innych kampanii malware’u. Zamiast tego wdrożył własny, specjalnie przygotowany dla Cisco ISE webshell o nazwie IdentityAuditAction, sprytnie podszywający się pod legalny komponent systemu.
Amazon opisuje jego zachowanie jako wyjątkowo zaawansowane:
- Działał wyłącznie w pamięci, pozostawiając minimalne ślady w logach i na dysku
- Wykorzystywał mechanizmy Javy do wstrzykiwania się w istniejące wątki i rejestrował się jako listener, nasłuchujący całego ruchu HTTP w serwerze Tomcat
- Komunikacja była szyfrowana z użyciem DES oraz nietypowego kodowania Base64, co miało utrudnić wykrycie przez systemy monitorujące
- Dostęp do backdoora wymagał znajomości specyficznych nagłówków HTTP
Takie cechy wskazują na starannie zaprojektowane, szyte na miarę narzędzie szpiegowskie, a nie masowo dystrybuowaną rodzinę malware’u. Amazon ocenia, że autorzy kampanii dysponują zaawansowanymi kompetencjami badania luk oraz dostępem do informacji o podatnościach, które jeszcze nie trafiły do publicznej bazy CVE.
Kim jest atakujący i kto był celem?
Amazon opisuje napastnika jako zaawansowanego aktora APT, ale nie wskazuje konkretnego państwa ani grupy cyberprzestępczej. Dostępne informacje sugerują raczej szerokie, masowe skanowanie internetu niż precyzyjnie wycelowaną operację. Celem były po prostu widoczne z sieci urządzenia Citrix i Cisco ISE z podatnymi konfiguracjami.
Przy tego typu kampaniach szczególnie narażone są organizacje, które:
- Wystawiają na zewnątrz panele zarządzania lub interfejsy API krytycznych urządzeń
- Opóźniają aktualizacje oprogramowania
- Nie mają włączonego monitoringu anomalii w ruchu sieciowym i logach systemowych
To właśnie dlatego przypadek opisany przez CJ Mosesa jest tak niepokojący z perspektywy rynku. Pokazuje, że nawet dobrze zarządzane i teoretycznie zahartowane systemy bezpieczeństwa stają się jednym z głównych celów ataków.
Czytaj też: Jak sprawdzić czyjeś IP
Co powinni zrobić dziś administratorzy i zespoły bezpieczeństwa
Najważniejsza informacja praktyczna? Citrix i Cisco udostępniły już poprawki dla podatnych produktów, a Amazon wprost odsyła do biuletynów bezpieczeństwa obu dostawców.
Dla firm korzystających z Citrix NetScaler ADC/Gateway oraz Cisco ISE oznacza to kilka pilnych kroków:
- Jak najszybsze sprawdzenie wersji oprogramowania i wdrożenie dostępnych aktualizacji
- Pełny przegląd logów pod kątem nietypowych prób logowania, nieznanych procesów oraz niespodziewanych zmian konfiguracji
- Weryfikację, czy panele administracyjne oraz interfejsy API tych systemów nie są dostępne bezpośrednio z internetu
- Wprowadzenie dodatkowych warstw ochrony – od segmentacji sieci po uprzywilejowany dostęp tylko z określonych, kontrolowanych sieci
Amazon zaleca, by strategicznie patrzeć na systemy tożsamości, VPN-y i bramy zdalnego dostępu jak na „koronę” infrastruktury. To one decydują o tym, kto dostanie się do środka, więc dla atakujących są naturalnym pierwszym celem. Nawet gdy polityki haseł, MFA i konfiguracje wydają się dopracowane, pre-auth zero-day, taki jak CVE-2025-20337, może wywrócić cały ten model do góry nogami.
Bezpieczeństwo zaczyna się na brzegu sieci
Historia dwóch zero-dayów ujawnionych przez Amazon jest ważnym sygnałem ostrzegawczym dla całego rynku. Bezpieczeństwo nie zaczyna się w aplikacjach biznesowych czy na stacjach roboczych, ale na brzegu sieci i w systemach, które zarządzają tożsamością i dostępem.
To właśnie te komponenty – Citrix NetScaler, Cisco ISE i inne podobne rozwiązania – powinny być traktowane priorytetowo w planach aktualizacji, segmentacji, monitoringu i reagowania na incydenty.
Dla zespołów bezpieczeństwa to również dowód, że warto inwestować w zaawansowaną detekcję anomalii oraz rozwiązania typu honeypot. Gdyby nie własna infrastruktura MadPot, Amazon mógłby nie zauważyć kampanii tak wcześnie, a organizacje na całym świecie jeszcze długo pozostawałyby w ciemnościach co do skali zagrożenia.