کمیته رکن چهارم– تیم اطلاعات تهدید آمازون اعلام کرد که یک عامل تهدید پیشرفته با بهرهگیری از دو آسیبپذیری روز صفر در محصولات سیسکو و سیتریکس، اقدام به توزیع بدافزاری سفارشی در زیرساختهای حیاتی کرده است.
به گزارش کمیته رکن چهارم، این حملات از طریق شبکه هانیپات MadPot شناسایی شده و شامل سوءاستفاده از دو آسیبپذیری با شناسههای CVE-2025-5777 در Citrix NetScaler و CVE-2025-20337 در Cisco ISE میشود. اولین آسیبپذیری امکان دور زدن احراز هویت را فراهم کرده و دومی اجازه اجرای کد دلخواه بدون احراز هویت را با دسترسی root به مهاجم میدهد. هر دو نقص در ماههای ژوئن و ژوئیه ۲۰۲۵ وصله شدهاند.
بررسیهای فنی نشان میدهد مهاجم از یک وبشل مخفی با نام IdentityAuditAction استفاده کرده که بهصورت خاص برای محیط Cisco ISE طراحی شده و در حافظه اجرا میشود. این بدافزار با بهرهگیری از Java Reflection، به threadهای فعال تزریق شده و بهعنوان listener در سرور Tomcat ثبت شده تا درخواستهای HTTP را رصد کند. همچنین از رمزنگاری DES و کدگذاری Base64 غیراستاندارد برای پنهانکاری بهره میبرد.
آمازون اعلام کرده که سطح پیچیدگی این عملیات و طراحی ابزار اختصاصی، نشاندهنده دسترسی مهاجم به منابع پیشرفته و دانش فنی بالا درباره معماری داخلی سیستمهای هدف است. همچنین تاکید شده است که پیشاحراز هویت بودن این آسیبپذیریها، حتی سیستمهای بهدرستی پیکربندیشده را نیز در معرض تهدید قرار میدهد.
در جمعبندی، آمازون هشدار داده که این حملات بار دیگر نشان میدهد زیرساختهای مرزی شبکه اهداف اصلی مهاجمان هستند و سازمانها باید با استراتژیهای دفاعی چندلایه و تقویت توان شناسایی رفتارهای غیرعادی، خطرات را کاهش دهند.
