Een niet nader in kaart gebrachte hackersgroep heeft de kritieke zero-day kwetsbaarheden CVE-2025-5777 in Citrix NetScaler en CVE-2025-20337 in Cisco Identity Service Engine misbruikt. Amazon’s threat intelligence-team ontdekte de aanvallen via hun MadPot-honeypot, voordat de lekken publiek bekend werden.
Amazon’s MadPot-honeypot detecteerde exploitatiepogingen voor Citrix Bleed 2 (CVE-2025-5777) voordat de kwetsbaarheid publiek werd onthuld. Dit leverde het bewijs dat een aanvaller het lek al uitbuitte. Door nader onderzoek naar dezelfde aanvaller ontdekte Amazon ook een tot dan toe ongedocumenteerde kwetsbaarheid in Cisco ISE, ofwel een zero-day.
Citrix Bleed 2 betreft een out-of-bounds memory read-probleem in NetScaler ADC en Gateway. Citrix publiceerde eind juni patches. Hoewel de vendor tijd nodig had om te bevestigen dat het lek in aanvallen werd misbruikt, verschenen begin juli al exploits. CISA markeerde de kwetsbaarheid vervolgens als actief geëxploiteerd.
MadPot in actie
MadPot is het honeypot-programma van AWS. Het is een wereldwijd netwerk van geheime digitale doelen dat bedoeld is om aanvallers aan te trekken zodat hun werkwijze onderzocht kan worden. Tienduizenden sensoren registreren dagelijks meer dan honderd miljoen verbindingspogingen naar deze honeypots. Die ruwe telemetrie wordt geanalyseerd om malwaremonsters, indicatoren van compromittering en exploitpatronen te extraheren, waarna de inzichten in Amazon’s dreigingsintelligentie en securitydiensten zoals GuardDuty, Shield, WAF en Inspector terechtkomen.
Naast detectie gebruikt MadPot die intelligence ook om dreigingen actief te verstoren. Door netwerkcontrols van AWS en samenwerking met hosters en andere internetspelers kunnen kwaadwillende infrastructuren worden geblokkeerd of offline gehaald, en klanten en overheidsinstanties worden gewaarschuwd. Het systeem, oorspronkelijk opgezet door een AWS-security engineer, heeft herhaaldelijk geholpen geavanceerde aanvalsgroepen te identificeren en incidenten te voorkomen, en vormt inmiddels een kerncomponent van Amazons cyberverdediging.
Cisco ISE onder vuur
Het lek in Cisco ISE (CVE-2025-20337) kreeg de maximale CVSS-score van 10.0. Cisco waarschuwde op 17 juli al dat aanvallers het konden misbruiken om kwaadaardige bestanden op te slaan, willekeurige code uit te voeren of root-privileges te verkrijgen op kwetsbare apparaten.
Binnen vijf dagen herhaalde Cisco de waarschuwing over actieve exploitatie van CVE-2025-20337. Op 28 juli publiceerde securityonderzoeker Bobby Gould technische details en een exploit chain.
Volgens een rapport dat Amazon met BleepingComputer deelde, werden beide lekken misbruikt in APT-aanvallen voordat Cisco en Citrix hun eerste securitybulletins uitbrachten.
Geavanceerde aanvalstechnieken
De hackers gebruikten CVE-2025-20337 om pre-auth admin-toegang tot Cisco ISE-endpoints te verkrijgen. Ze installeerden een custom webshell genaamd ‘IdentityAuditAction’, vermomd als legitiem ISE-component.
De webshell registreerde zich als HTTP-listener om alle requests te onderscheppen. Via Java reflection injecteerde het in Tomcat server threads. Om extra verhuld te blijven, gebruikte de tool DES-encryptie met non-standaard base64-encoding. Toegang hiertoe vereiste kennis van specifieke HTTP-headers en liet minimale forensische sporen achter.
Het gebruik van meerdere onbekende zero-days en de geavanceerde kennis van Java/Tomcat-internals en Cisco ISE-architectuur wijzen allemaal op een zeer geavanceerde aanvaller. Amazon kon de activiteit echter niet aan een bekende dreigingsgroep toewijzen.
Opvallend genoeg leek de targeting ongericht, wat niet past bij de typisch scherp afgebakende aanvalsroute van gerichte operaties door geavanceerde groepen. Organisaties wordt aangeraden de beschikbare securityupdates voor CVE-2025-5777 en CVE-2025-20337 toe te passen. Daarnaast is het verstandig toegang tot edge-netwerkapparaten te beperken via firewalls en netwerksegmentatie.