Amazon descobre ataques explorando falhas zero-day em software da Cisco e Citrix

Nesta quarta-feira (12), a equipe de inteligência da Amazon revelou a descoberta de ataques hackers a vulnerabilidades zero-day no Mecanismo de Identidade da Cisco (ISEO, de Identity Service Engine) e no NetScaler ADC da Citrix, iniciativa desenhada para levar malwares customizados à máquina dos usuários.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

Segundo o Diretor de Segurança da Informação (CISO) da Segurança Integrada da Amazon, CJ Moses, a descoberta mostra a tendência de hackers focarem na infraestrutura crítica de identidade e controle de acesso às redes. A atividade maliciosa foi identificada pela rede honeypot da empresa, Madpot.

Exploração de softwares Cisco e Citrix

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

As falhas exploradas pelos hackers foram as seguintes:

• CVE-2025-5777, ou Citrix Bleed 2 (Score CVSS 9,3): uma vulnerabilidade relacionada à validação de inputs insuficiente no NetScaler ADC da Citrix e no Gateway, explorada para burlar autenticação e consertada pela Citrix em junho;
• CVE-2025-20337 (Score CVSS 10,0): uma vulnerabilidade na ISE e ISE-PIC da Cisco que permitia execução remota de códigos sem autenticação, chegando ao root do sistema operacional e corrigida pela Cisco em julho.

A Amazon identificou o uso ativo das falhas por agentes maliciosos, incluindo exploração da CVE-2025-5777 como zero-day. Isso levou à entrega de um web shell customizado, disfarçado como um componente legítimo da ISE Cisco chamado IdentityAuditAction. Não era um malware genérico, segundo Moses, mas sim um backdoor desenvolvido especificamente para os ambientes da empresa.

O web shell em questão consegue operar diretamente na memória e usa reflexão Java para se injetar em threads correntes. Ele também se registra como ouvinte para monitorar todos os requests HTTP no servidor Tomcat e implementa encriptação DES com codificação não-padrão em Base64 para fugir da detecção.

A característica “sob medida” da invasão mostra como os hackers possuem conhecimentos profundos dos aplicativos Java, funcionamento interno do Tomcat e da ISE da Cisco. Segundo Moses, o caso demonstra a importância de implementar estratégias de defesa profundas e capacidades robustas de detecção de padrões de comportamento suspeitos nos sistemas.

Veja mais:

• Ônibus elétricos chineses podem estar na mira de cibercriminosos?
• Malware GootLoader voltou e usa truque de fonte para invadir PCs via WordPress
• Saiba quanto vale seu cartão de crédito roubado na dark web

VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]

Fonte: Amazon