A közelmúltban egy fejlett fenyegető csoport két, később kritikusnak minősített zero-day sérülékenységet használt ki még azelőtt, hogy ezek nyilvánosságra kerültek volna vagy javítás vált volna elérhetővé. Az egyik hiba a NetScaler ADC és Gateway rendszerekben található, Citrix Bleed 2 hibája, CVE-2025-5777 azonosítón, a másik pedig a Cisco Identity Services Engine egyik legsúlyosabb sérülékenysége, a CVE-2025-20337.
Az Amazon fenyegetésfelderítő csapata a MadPot honeypot infrastruktúra elemzése során észlelte, hogy a Citrix Bleed 2 sérülékenységet még a nyilvános bejelentés előtt aktívan kihasználták. A vizsgálat során ugyanazon fenyegető csoport tevékenységéhez köthetően egy payloadot is azonosítottak, amely egy addig nem dokumentált Cisco ISE végpontot célzott meg, és sérülékeny deszerializációs logika kihasználását tette lehetővé. Az Amazon a két megfigyelést a közös támadói aktivitás alapján kapcsolta össze, majd értesítette a Cisco-t, amely ezt követően CVE-2025-20337 azonosítóval látta el az érintett hibát.
A Citrix Bleed 2 sérülékenység a NetScaler termékekben határérték-túllépéses memóriaolvasást tesz lehetővé. A javításokat a gyártó június végén adta ki. Bár a Citrixnek további időre volt szüksége annak megerősítéséhez, hogy a hibát valóban támadásokban használták-e, harmadik fél kutatói addigra már több esetet jelentettek. Július elejére elérhetővé váltak a sérülékenységet kihasználó exploitok, és az amerikai CISA is a ténylegesen kihasznált hibák közé sorolta.
A Cisco által érintett hiba a legmagasabb súlyosságú minősítést kapta, és a vállalat július 17-én arra figyelmeztette az ügyfeleket, hogy a sérülékenység lehetővé teszi a hitelesítés nélküli támadók számára rosszindulatú fájlok feltöltését, tetszőleges kód futtatását és root jogosultság megszerzését. Kevesebb mint egy héttel később a Cisco újabb figyelmeztetést adott ki, amely szerint a hibát már aktívan is kihasználják. Július 28-án egy biztonsági kutató részletes technikai írást jelentetett meg, amely a támadási láncot is bemutatta.
Mindkét sérülékenységet még az előtt használták ki a támadók, hogy a Citrix és a Cisco kiadta volna az első hivatalos biztonsági közleményt. A támadók a Cisco ISE eszközökön a CVE-2025-20337 sérülékenységet kihasználva előzetes hitelesítés nélküli adminisztrátori hozzáférést szereztek, majd egy egyedi web shellt telepítettek, IdentityAuditAction néven. A komponens a legitim ISE elemek között, rejtve működött, HTTP forgalmat figyelt, Java reflection segítségével Tomcat szálakba injektálta magát, és DES alapú titkosítást kombinált nem szabványos Base64 kódolással. A web shell működéséhez speciális HTTP fejlécek ismerete volt szükséges, és minimalizálta a forenzikus nyomokat.
A támadások eredete továbbra sem ismert, az Amazon nem tudta azonosítani, mely fenyegető csoport állhat a tevékenység mögött. A vizsgálat ugyanakkor arra is rámutatott, hogy a célba vett rendszerek köre nem volt különösebben célzott, ami szokatlan a fejlett támadókra jellemző műveletekhez képest.
A gyártók azt javasolják, hogy az érintett szervezetek mielőbb telepítsék a CVE-2025-5777 és CVE-2025-20337 javításait, és gondoskodjanak arról, hogy a hálózat peremén üzemelő eszközökhöz csak korlátozott, megfelelően szabályozott hozzáférés legyen.