Hackers Actively Exploiting Cisco and Citrix 0-Days in the Wild to Deploy Webshell
2025/11/12 CyberSecurityNews — Cisco Identity Services Engine (ISE) および Citrix のゼロデイ脆弱性を、高度なハッキンググループが積極的に悪用している。実環境で確認されている一連の攻撃において、ハッカーたちはカスタム Web シェルを展開し、企業ネットワークの深層へのアクセスを得ている。調査結果が浮き彫りにするのは、ユーザー・ログインとネットワーク制御の管理を担う主要システムを標的とする攻撃者が、企業を高いリスクにさらしているという実態である。
Cisco と Citrix のゼロデイ脆弱性の悪用
この問題の発見は、サイバー脅威を誘い込み調査するために設計された、Amazon MadPot ハニーポット・サービスに端を発している。Citrix Bleed Two CVE-2025-5777 と命名された、Citrix の脆弱性を悪用する試みを、このサービスは誰よりも早く捕捉した。
このゼロデイ脆弱性により、攻撃者は許可なくリモート・コードを実行できる。さらに調査を進めた Amazon の専門家たちは、Cisco ISE の隠れた脆弱性 CVE-2025-20337 の悪用にも、同じハッカーが関与していることを突き止めた。
この Cisco のバグを悪用する攻撃者は、データ処理の欠陥である不適切なデシリアライゼーションを介して、ログイン前における部外者によるコード実行を可能にする。その結果として、影響を受けるシステムにおける管理者権限の完全な制御が可能になる。
この脆弱性を深刻にするのは、そのタイミングである。Cisco が ISE のユーザーに対して、脆弱性 CVE-2025-20337 の詳細やパッチを公開する前から、このハッカーはインターネットに接続された実環境で、この欠陥を悪用していた。
このパッチ・ギャップ戦術が示すのは、攻撃者の巧妙さである。彼らはアップデートを綿密に監視し、防御が脆弱なときに迅速に攻撃を仕掛ける。Amazon は Cisco の詳細情報を共有し、修正を迅速化したが、すでに被害は発生していた。
侵入に成功したハッカーたちは、”IdentityAuditAction” と呼ばれる Cisco の正規コンポーネントを装う巧妙なカスタム Web シェルを埋め込んでいた。一般的なマルウェアとは異なり、このマルウェアは Cisco ISE 専用に構築されている。
この Web シェルは、完全にコンピュータのメモリ内で実行され、フォレンジック・チームによるファイル・ベースの検出を容易に回避する。具体的に言うと、Java リフレクションなどのトリックを用いて、システムの Web サーバ (Tomcat) にフックし、すべてのトラフィックを監視する。攻撃者からのコマンドを隠すために、DES と奇妙な Base64 を組み合わせた暗号化を用い、それを有効化するために、特別な Web ヘッダーをチェックする。
コードを覗き見れば、その巧妙さが明らかになる。あるルーチンでは、Web リクエストから隠された命令をデコードし、”*” などの文字を “a” に置き換え、秘密鍵 “d384922c” を使用してペイロードのロックを解除する。それにより、このハッカーは痕跡を残すことなく任意のコードを実行するため、検出は困難を極める。
Amazon の分析によると、このグループは特定の標的だけではなく、インターネット全体へ向けてエクスプロイトを拡散していたという。彼らのツールが示すのは、Java アプリ/Tomcat/Cisco のコンフィグレーションに関する深い知識であり、脆弱性に関する内部情報や優れた調査スキルを持つ、資金力のあるチームであることを示唆している。
このサイバー侵害は、ネットワーク全体を守る ID マネージャーやリモート・ゲートウェイなどのエッジ防御を狙う攻撃者が増加傾向にあるという、最近のパターンに一致している。
セキュリティ専門家にとって、これは警鐘である。最高レベルのシステムでさえ、ログイン前のエクスプロイトに陥る可能性がある。Amazon がセキュリティ・チームに対して強く推奨するのは、多層的な防御策の導入である。具体的には、ファイアウォールを用いて管理ポータルへのアクセスをブロックし、異常な Web トラフィックを監視し、不審な行動を検知する仕組みを構築することである。迅速なパッチ適用は重要だが、侵入を想定し、対応策を計画することも重要だ。
今回の攻撃が再認識させるのは、Cisco や Citrix といった重要なツールにおけるゼロデイ攻撃が、混乱の扉を開く可能性である。ハッカーの進化に伴い、企業は警戒を怠ってはならない。
この攻撃で悪用されているのは、Cisco ISE と Citrix のゼロデイ脆弱性です。特に Cisco ISE の欠陥は、不適切なデシリアライゼーションが原因で、ログイン前でもコード実行が可能になるという深刻なものです。この弱点を悪用する攻撃者は、正規コンポーネントに見せかけた Web シェルを組み込んで内部に侵入しています。特に、公開前から悪用が始まっていたことが、状況をより難しくしています。Citrix Bleed Two CVE-2025-5777 を悪用した攻撃者が、Cisco を次に標的にするという、深刻な事態に至っています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-5777 で検索を、お試しください。
IoT OT Security News 
You must be logged in to post a comment.