Citrix Bleed en Cisco ISE-kwetsbaarheid als zero-day uitgebuit in geavanceerde aanvalscampagne
De Citrix Bleed 2 kwetsbaarheid (CVE-2025-5777) en een zero-day lek in een ongedocumenteerde endpoint van Cisco Identity Services Engine (ISE) (CVE-2025-20337) zijn door aanvallers uitgebuit voordat deze in de openbaarheid zijn gebracht, meldt het threat intelligence-team van Amazon. Exploitatiepogingen zijn door de MadPot-honeypotservice van Amazon al voor de publicatie opgemerkt.
Citrix Bleed 2 is een kwetsbaarheid in NetScaler ADC en Gateway, die op 17 juni 2025 door Citrix is gedicht. Uit onderzoek van onder meer BleepingComputer bleek eerder al dat de kwetsbaarheid enkele weken vooraf aan de publicatie actief is uitgebuit. Dit bevestigt het threat intelligence-team van Amazon nu, dat daarbij ook meldt dat een kwetsbaarheid in Cisco ISE eveneens voor publicatie is uitgebuit.
CVE-2025-20337 maakt gebruik van een ongedocumenteerde endpoint die kwetsbare deserialisatielogica gebruikt. Het lek stelt aanvallers in staat zonder authenticatie code op afstand uit te voeren op kwetsbare implementaties. Zo kunnen kwaadwillenden beheerdersrechten verkrijgen op gecompromitteerde systemen.
Het threat intelligence-team meldt dat de aanvallers een op maat gemaakte backdoor hebben ingezet. Het gaat daarbij om een aangepaste webshell, die is vermomd als een legitiem Cisco ISE-onderdeel, genaamd IdentityAuditAction. De webshell maakt onder meer gebruik van geavanceerde ontwijkingstechnieken. De backdoor werkt volledig in het geheugen en laat hierdoor minimale forensische sporen na. Ook past de backdoor Java-reflectie toe om zichzelf te injecteren in actieve threads en monitort het HTTP-verzoeken op de Tomcat-server. Ook wordt DES-versleuteling met niet-standaard Base64-codering ingezet.
Het team meldt ook dat de tools die de aanvallers inzetten wijzen op gedetailleerde kennis van enterprise Java-applicaties, Tomcat-interne werking en de architectuur van Cisco ISE. Amazon vermoedt dat de aanvallers over veel financiering beschikken, aangezien zij meerdere zeroday-lekken hebben ingezet.
Cisco draait iets van een Linux variant?
Cisco draait iets van een Linux variant?
Er is niets inherent 'professioneel' aan Linux, het is gewoon een besturingsysteem (in zeer veel varieties). Citrix Netscaler is een kant-en-klare computer (appliance) met Linux en Citrix software daarbovenop. Je verwacht van zo'n appliance dat deze juist 'verhard' is tegen aanvallen dat de software goed up-to-date wordt gehouden.
Maar iedereen die ooit heeft gewerkt met Citrix weet dat hun software superbrak is. Dat iemand dan het heldere idee heeft die software ook nog eens in een beveiligingsrol in te zetten, dan weet je dat het een manager is geweest zonder ook enige input van iemand met verstand.
Een leverancier waar ik werkte waren de Netscalers leuke producten. Alle netwerk engineers wilden het ding met geen stok aanraken dus de uitlevering werd gedaan door de front-end / applicatie engineers die geen enkel verstand hadden van beveiliging of netwerk in het algemeen. De kickback die de verkopers erop krgen was enorm dus verkochten ze die dingen als warme broodjes aan de domme 'ik wil Citrix, waarom weet ik niet, klanten'.
Anyway, Linux is niet de zwakke schakel hier. Er is geen ' exploit' in Linux maar in de Citrix software die hier uitgebuit wordt.
Maar iedereen die ooit heeft gewerkt met Citrix weet dat hun software superbrak is. Dat iemand dan het heldere idee heeft die software ook nog eens in een beveiligingsrol in te zetten, dan weet je dat het een manager is geweest zonder ook enige input van iemand met verstand.
Heb ik hier ook last van. Ze zitten heel erg in hun eigen bubbel en zijn heel strak in hun mening.
Klinkt als niet de beste network afdeling.....
Cisco draait iets van een Linux variant?
Citrix NetScaler (now Citrix ADC) runs on a customized version of the open-source operating system FreeBSD. Citrix has modified FreeBSD's kernel and other components to create a hardened appliance with its own proprietary packet processing engine for traffic management. While it uses FreeBSD as a base, it is not intended to be treated as a standard FreeBSD system, and users are restricted from making modifications to the underlying OS
Cisco draait iets van een Linux variant?
Citrix NetScaler (now Citrix ADC) runs on a customized version of the open-source operating system FreeBSD. Citrix has modified FreeBSD's kernel and other components to create a hardened appliance with its own proprietary packet processing engine for traffic management. While it uses FreeBSD as a base, it is not intended to be treated as a standard FreeBSD system, and users are restricted from making modifications to the underlying OS
Voor de volledigheid: FreeBSD zijn geen unix in juridische zin (patenten en geldkwestie) maar technisch niet heel veel anders.
Thorvalds inspiratie om linux OS voor PC te gaan bouwen, was unix. Schrikbarend duur, dat unix. AT&T, de Amerikaanse de telefoniegigant heeft het ontwikkeld. Niet tegenhanger IBM, want daar kwam DOS en Windows van en die zaten in OS voor de standalone thuisgebruiker, met als concurrent Apple.
Unix omgeving werd door kantoorgebruikers nogal eens als stug en hurkerig ervaren, iit tot wat ze thuis allemaal met Windows konden....
Cisco draait iets van een Linux variant?
Citrix NetScaler (now Citrix ADC) runs on a customized version of the open-source operating system FreeBSD. Citrix has modified FreeBSD's kernel and other components to create a hardened appliance with its own proprietary packet processing engine for traffic management. While it uses FreeBSD as a base, it is not intended to be treated as a standard FreeBSD system, and users are restricted from making modifications to the underlying OS
Cisco draait iets van een Linux variant?
Citrix NetScaler (now Citrix ADC) runs on a customized version of the open-source operating system FreeBSD. Citrix has modified FreeBSD's kernel and other components to create a hardened appliance with its own proprietary packet processing engine for traffic management. While it uses FreeBSD as a base, it is not intended to be treated as a standard FreeBSD system, and users are restricted from making modifications to the underlying OS
Thorvalds inspiratie om linux OS voor de PC te gaan bouwen was Minix. Zie flame war: https://en.wikipedia.org/wiki/Tanenbaum%E2%80%93Torvalds_debate
De Unix omgeving was voor kantoorgebruikers helemaal niet stug of hurkerig maar juist superieur. Het was alleen veel te duur. Zie UNIX worksttaions van Dec Apple Sun SGI etc. De PC werd een succes vanwege de open hardware en juist niet de software. De software was belabberd. Geen multiuser of multitasking om over de GUI maar niet te spreken.
Cisco draait iets van een Linux variant?
Citrix NetScaler (now Citrix ADC) runs on a customized version of the open-source operating system FreeBSD. Citrix has modified FreeBSD's kernel and other components to create a hardened appliance with its own proprietary packet processing engine for traffic management. While it uses FreeBSD as a base, it is not intended to be treated as a standard FreeBSD system, and users are restricted from making modifications to the underlying OS
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?