كشف فريق استخبارات التهديدات التابع لشركة أمازون، عن رصد جهات فاعلة متقدمة تستغل ثغرتين أمنيتين من نوع “صفر يوم” (Zero-Day) في أنظمة Cisco Identity Service Engine (ISE) و Citrix NetScaler ADC. تأتي هذه الاكتشافات في سياق هجمات تستهدف نشر برمجيات خبيثة مخصصة.
أوضح الفريق أن هذا التطور يسلط الضوء على اتجاه متزايد لدى الجهات التهديدية بالتركيز على البنية التحتية الحيوية لأنظمة التحكم بالهوية والوصول، وهي الأنظمة التي تعتمد عليها المؤسسات لفرض سياسات الأمان وإدارة المصادقة عبر شبكاتها.
استغلال ثغرات “صفر يوم” في Bنية Cisco و Citrix
تم رصد هذه الهجمات عبر شبكة المصائد (honeypot) الخاصة بأمازون، والتي تعرف باسم MadPot. استغلت هذه الهجمات ثغرتين أمنيتين بارزتين. شملت الثغرة الأولى، المعروفة باسم CVE-2025-5777 أو Citrix Bleed 2، خللاً في التحقق من المدخلات في Citrix NetScaler ADC و Gateway، مما قد يمكّن المهاجم من تجاوز المصادقة. وقد قامت Citrix بإصلاح هذه الثغرة في يونيو 2025.
أما الثغرة الثانية، CVE-2025-20337، فقد منحت المهاجم غير المصادق عليه القدرة على تنفيذ تعليمات برمجية عن بعد في أنظمة Cisco Identity Services Engine (ISE) و Cisco ISE Passive Identity Connector (ISE-PIC). يتيح هذا الاستغلال للمهاجم تنفيذ أي تعليمات برمجية على نظام التشغيل الأساسي بصلاحيات الجذر (root). وقد قامت Cisco بإصلاح هذه الثغرة في يوليو 2025.
آلية الهجمات وتأثيرها
أشارت أمازون إلى أنها رصدت محاولات استغلال CVE-2025-5777 كارتباطات “صفر يوم” في شهر مايو 2025. بعد مزيد من التحقيق، اكتشف الفريق حمولة (payload) مريبة تستهدف أجهزة Cisco ISE، مستخدمةً في ذلك الثغرة CVE-2025-20337. أدت هذه الأنشطة في النهاية إلى نشر قشرة ويب (web shell) مخصصة، تم إخفاؤها كجزء شرعي من نظام Cisco ISE المسمى IdentityAuditAction.
وصفت أمازون هذه القشرة بأنها لم تكن عبارة عن برمجيات خبيثة جاهزة، بل كانت بابًا خلفيًا (backdoor) معدًا خصيصًا لبيئات Cisco ISE. تمتلك هذه القشرة قدرات متقدمة للتخفي، حيث تعمل بالكامل في الذاكرة وتستخدم تقنية Java reflection لحقن نفسها في الخيوط (threads) قيد التشغيل.
من ناحية أخرى، تعمل القشرة كمستمع لرصد جميع طلبات HTTP عبر خادم Tomcat. كما أنها تستخدم تشفير DES مع ترميز Base64 غير قياسي لتجنب الكشف. هذه التقنيات المعقدة تشير إلى مستوى عالٍ من الخبرة لدى الجهات المهاجمة.
دوافع الجهات المهاجمة والدروس المستفادة
وصفت أمازون الحملة بأنها عشوائية، معتبرةً الجهة المهاجمة “ذات موارد عالية” لقدرتها على استغلال ثغرات “صفر يوم” متعددة. يعكس هذا إما قدرات بحث متقدمة في الثغرات أو وصول محتمل لمعلومات غير علنية عنها. إضافة إلى ذلك، فإن استخدام أدوات مخصصة يكشف عن معرفة المهاجم بتطبيقات Java الخاصة بالمؤسسات، والتفاصيل الداخلية لخادم Tomcat، وآلية عمل Cisco ISE.
تؤكد هذه النتائج مجددًا على استمرار الجهات التهديدية في استهداف أجهزة الشبكة الطرفية لاختراق الشبكات المستهدفة. وهذا يجعل من الضروري على المؤسسات الحد من الوصول إلى بوابات الإدارة المميزة، سواء عبر جدران الحماية أو طبقات وصول متعددة.
أشار النص إلى أن طبيعة هذه الثغرات التي تتيح الاستغلال قبل المصادقة، تكشف أنه حتى الأنظمة المُعدّة بعناية والمُصانة بدقة يمكن أن تتأثر. وهذا يؤكد على أهمية تطبيق استراتيجيات دفاع متعمق شاملة، وتطوير قدرات كشف قوية يمكنها تحديد أنماط السلوك غير العادية.