Zero day Citrix i Cisco ISE napadi

Sadržaj
‍
U studenom 2025. potvrđeno je aktivno iskorištavanje dviju ranjivosti nultog dana koje pogađaju Citrix NetScaler ADC / Gateway sustave i Cisco Identity Services Engine ISE / ISE PIC uređaje. Ranjivost CVE 2025 5777 u Citrix NetScaleru omogućuje zaobilaženje autentikacije, krađu sesija i eskalaciju privilegija, dok CVE 2025 20337 u Cisco ISE u omogućuje potpuno udaljeno izvršavanje koda s ovlastima administratora bez ikakve prijave. Napadači su te propuste koristili za postavljanje skrivenih web shell alata dobivanje trajnog pristupa i prodor u interne mreže organizacija.

Detalji
‍
Ova kampanja obuhvatila je dva ključna napadačka smjera, jedan usmjeren na Citrix NetScaler ADC Gateway, a drugi na Cisco Identity Services Engine ISE. Riječ je o sustavima koje koriste velike korporacije i javne institucije kao temelj za VPN pristup autentikaciju i upravljanje identitetima. U praksi njihova kompromitacija napadaču daje mogućnost zaobilaženja gotovo svih sigurnosnih kontrola koje štite unutarnju mrežu.
‍
Citrix ranjivost CVE 2025 5777 omogućuje krađu aktivnih sesija i preuzimanje korisničkih računa bez stvarnih vjerodajnica. Napad se temelji na izmjeni internih sesijskih vrijednosti što napadaču omogućuje presretanje tokena i njihovo ponovno korištenje. Time se izravno zaobilaze mehanizmi poput višefaktorske autentikacije i provjere identiteta. U brojnim slučajevima kompromitacija je rezultirala instalacijom web shell skripti na NetScaler sustave iako ti uređaji inače ne bi smjeli dopustiti izvršavanje proizvoljnog koda. Uočene tehnike djelomično podsjećaju na stariji napad poznat kao Citrix Bleed ali s novim načinima iskorištavanja.
‍
Cisco ranjivost CVE 2025 20337 još je ozbiljnija jer napadaču omogućuje udaljeno izvršavanje koda s root ovlastima bez ikakve autentikacije. Slanjem posebno oblikovanog zahtjeva prema ranjivom API ju ISE a moguće je odmah preuzeti upravljačku kontrolu nad uređajem dodavati administratore mijenjati sigurnosne politike instalirati dodatne module i manipulirati identitetskom infrastrukturom. Napadi su uključivali postavljanje prilagođenog web shell alata skrivenog duboko u strukturi direktorija ISE, a čime se izbjegavalo zapisivanje tragova u dnevničke zapise.
‍
Amazonov sustav za praćenje prijetnji (MadPot honeypot mreža) prvi je zabilježio pokušaje iskorištavanja ovih ranjivosti. Napadačke skupine ciljale su desetke tisuća IP adresa tražeći ranjive Citrix i Cisco uređaje izložene internetu. Nakon probijanja napad se širio prema unutrašnjim sustavima uključujući infrastrukturu za autentikaciju VPN čvorove i interne poslužitelje. Zabilježeni su i pokušaji instalacije dodatnih alata za dugotrajnu prisutnost prikupljanje vjerodajnica i komunikaciju s udaljenim poslužiteljima pod kontrolom napadača.
‍
Kombinacija ova dva propusta posebno je opasna. Citrix NetScaler često je ulazna VPN točka, dok Cisco ISE upravlja identitetima i pravima pristupa. Ako napadač kompromitira oba sustava dobiva potpunu kontrolu nad mrežom organizacije. Organizacije koje koriste ove uređaje i koje su ih imale izložene internetu prije objave zakrpa trebaju pretpostaviti moguću kompromitaciju i pregledati zapise unatrag više tjedana.

Preporuke
‍
• Odmah primijeniti sve dostupne zakrpe za Citrix NetScaler ADC Gateway i Cisco ISE ISE PIC.
• Ograničiti ili ukloniti vanjski pristup administrativnim sučeljima koristiti VPN i višefaktorsku autentikaciju.
• Provjeriti verzije NetScaler i ISE uređaja te pregledati logove radi otkrivanja neuobičajenih API zahtjeva novih administrativnih računa ili instalacije nepoznatih modula.
• Pojačati nadzor uz SIEM i EDR alate radi otkrivanja znakova kompromitacije uključujući sumnjive mrežne konekcije i aktivnost web shell alata.
• Ako zakrpe ne mogu biti odmah primijenjene izolirati ranjive uređaje onemogućiti nepotrebne servise i pratiti obavijesti proizvođača.

Reference

· https://thehackernews.com/2025/11/amazon-uncovers-attacks-exploited-cisco.html
·https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
· https://www.bleepingcomputer.com/news/security/hackers-exploited-citrix-cisco-ise-flaws-in-zero-day-attacks/
· https://nvd.nist.gov/vuln/detail/CVE-2025-20337
· https://nvd.nist.gov/vuln/detail/CVE-2025-5777

‍

‍