國家級駭客鎖定思科與Citrix零時差漏洞從事攻擊

今年6月至7月，Citrix與思科先後修補重大層級漏洞CVE-2025-5777（CitrixBleed 2）和CVE-2025-20337（CVSS風險評為9.3和10分），如今有資安事故調查的結果指出，國家級駭客早在上述公告發布之前，就將其用於實際攻擊行動，引起資安界高度關注。

Amazon威脅情報團隊指出，在Citrix與思科尚未揭露前，他們發現就有國家級駭客就將兩項零時差漏洞用於攻擊行動，不僅如此，攻擊者透過自行打造的惡意軟體犯案，並試圖利用其他的未公開漏洞。由於這些遭濫用的漏洞影響Citrix NetScaler設備，以及思科網路存取控制（NAC）平臺Identity Services Engine（ISE）， 這些存取控制基礎設施的資安風險也連帶增加，對此，Amazon呼籲企業，對於特殊權限的資安設備與端點，應透過防火牆或分層機制限制存取，來防範相關威脅。

這起攻擊活動之所以曝光，起初Amazon是在密罐陷阱服務MadPot偵測到漏洞利用嘗試的情形，發現時間是在CVE-2025-5777公開之前，他們進一步根據利用這個Citrix漏洞的威脅著手調查，結果找到能夠攻擊思科ISE設備的有效酬載，經過與思科確認，攻擊者利用當時尚未登記的反序列化弱點CVE-2025-20337，該漏洞能讓駭客在ISE進行預先身分驗證，並且遠端執行任意程式碼，最終得到管理員權限。

在成功利用CVE-2025-20337之後，攻擊者部署了Web Shell，並將其偽裝成ISE元件IdentityAuditAction來掩人耳目。此為專為ISE打造的後門程式，透過Java反射手法將自己注入正在運作的處理程序執行，並註冊為監聽器來監控所有Tomcat伺服器的HTTP請求，過程完全在記憶體內運作，使得該後門能避免留下證據。再者，他們採用非標準的Base64編碼演算法實作DES加密，而且，攻擊者若要存取Web Shell，需要知道多個指定的HTTP標頭。

而對於攻擊者下手的標的，Amazon認為駭客疑似在網路上隨機尋找目標，也凸顯攻擊企業網路邊緣的關鍵基礎設施手段不斷進化。根據從密罐陷阱掌握的情報，攻擊者對於企業級Java應用程式、Tomcat架構，以及思科ISE相當了解，並具備挖掘零時差漏洞的能力，或是能夠在漏洞尚未公開之前偷取相關資料。不過，對於這些駭客利用兩項重大漏洞的時間，以及有多少企業組織受害，Amazon並未說明。