De Citrix Bleed 2 kwetsbaarheid (CVE-2025-5777) en een zero-day lek in een ongedocumenteerde endpoint van Cisco Identity Services Engine (ISE) (CVE-2025-20337) zijn door aanvallers uitgebuit voordat deze in de openbaarheid zijn gebracht, meldt het threat intelligence-team van Amazon. Exploitatiepogingen zijn door de MadPot-honeypotservice van Amazon al voor de publicatie opgemerkt.

Citrix Bleed 2 is een kwetsbaarheid in NetScaler ADC en Gateway, die op 17 juni 2025 door Citrix is gedicht. Uit onderzoek van onder meer BleepingComputer bleek eerder al dat de kwetsbaarheid enkele weken vooraf aan de publicatie actief is uitgebuit. Dit bevestigt het threat intelligence-team van Amazon nu, dat daarbij ook meldt dat een kwetsbaarheid in Cisco ISE eveneens voor publicatie is uitgebuit.

CVE-2025-20337 maakt gebruik van een ongedocumenteerde endpoint die kwetsbare deserialisatielogica gebruikt. Het lek stelt aanvallers in staat zonder authenticatie code op afstand uit te voeren op kwetsbare implementaties. Zo kunnen kwaadwillenden beheerdersrechten verkrijgen op gecompromitteerde systemen.

Het threat intelligence-team meldt dat de aanvallers een op maat gemaakte backdoor hebben ingezet. Het gaat daarbij om een aangepaste webshell, die is vermomd als een legitiem Cisco ISE-onderdeel, genaamd IdentityAuditAction. De webshell maakt onder meer gebruik van geavanceerde ontwijkingstechnieken. De backdoor werkt volledig in het geheugen en laat hierdoor minimale forensische sporen na. Ook past de backdoor Java-reflectie toe om zichzelf te injecteren in actieve threads en monitort het HTTP-verzoeken op de Tomcat-server. Ook wordt DES-versleuteling met niet-standaard Base64-codering ingezet.

Het team meldt ook dat de tools die de aanvallers inzetten wijzen op gedetailleerde kennis van enterprise Java-applicaties, Tomcat-interne werking en de architectuur van Cisco ISE. Amazon vermoedt dat de aanvallers over veel financiering beschikken, aangezien zij meerdere zeroday-lekken hebben ingezet.