El equipo de inteligencia de Amazon (detectando la actividad a través de su red honeypot “MadPot”) identificó una campaña de un actor con elevados recursos que explotaba dos vulnerabilidades zero-day o críticas en productos esenciales de red e identidad: Cisco Identity Services Engine (ISE) y Citrix NetScaler ADC y Gateway.
Cadena de Ataque Crítica: NetScaler$rightarrow$Cisco ISE (RCE como Root)
La campaña representa una amenaza de alto nivel porque encadena vulnerabilidades en dispositivos de control de acceso y perímetro, logrando Ejecución Remota de Código (RCE) con privilegios de root sin credenciales previas.
La Cadena de Explotación
- Acceso Inicial (Citrix Bleed 2): El atacante explota la vulnerabilidad CVE-2025-5777 (fallo de validación de entrada) en Citrix NetScaler ADC y Gateway. Esta falla permite el bypass de autenticación y acceso remoto al sistema, facilitando el pivote hacia otros sistemas internos.
- Escalada Final (Cisco ISE): Luego, el adversario explota CVE-2025-20337 en Cisco ISE e ISE Passive Identity Connector (ISE-PIC) para lograr RCE como root.
- Persistencia Fileless: El atacante desplegó un web-shell personalizado en Cisco ISE, disfrazado como el componente “IdentityAuditAction”. Este shell se carga en memoria (in-memory) mediante reflexión Java en los threads de Tomcat, dificultando la detección tradicional basada en archivos o firmas.
Implicaciones de Alto Riesgo
- Compromiso del Corazón de la Red: Los productos afectados gestionan la autenticación, identidad y control de acceso corporativo. Comprometerlos otorga control sobre la capa de acceso más crítica.
- Tácticas Avanzadas: El actor fue calificado por Amazon como “altamente armado” y utilizó herramientas personalizadas (el web-shell en memoria), lo que indica recursos e inversión en desarrollo específico.
- Vulnerabilidad Pre-Autenticación: El ataque explota vulnerabilidades que no requieren credenciales previas (zero-day o bypass de autenticación), rompiendo la noción de “acceso ya seguro”.
- Riesgo de espionaje: El compromiso permite la manipulación de identidades, escalada de privilegios y robo de datos a gran escala.
Recomendaciones
- Parcheo y Endurecimiento
- Verificar Versiones: Verifique inmediatamente si los sistemas Cisco ISE/ISE-PIC están en versiones anteriores a los parches publicados para CVE-2025-20337. Si no hay parche, aplíquelo con máxima prioridad.
- Mitigar NetScaler: Verifique que la versión de Citrix NetScaler ADC/Gateway tenga mitigada el CVE-2025-5777 (parche de junio de 2025).
- Segmentación estricta: Restringir la exposición a Internet de los portales de administración (ISE y NetScaler). Limitar el acceso solo a VPN o redes de gestión segmentadas.
- Detección y caza de amenazas
- Monitoreo de Tomcat: Realizar una búsqueda para detectar posibles web-shells en Cisco ISE que permanecen “en memoria”. Buscar procesos que utilicen Tomcat e hilos que estén escuchando solicitudes HTTP no esperadas o que muestren actividad anómala.
- Auditoría de Firmware: Monitorear la integridad del firmware y el estado de los parches en dispositivos de red/identidad.
- Movimiento Lateral: Evaluar si hay movimientos laterales iniciados desde la red de acceso/identidad hacia la red interna, ya que estos productos actúan como “puente” entre usuario externo e interno.
- Reglas SOC: Crear reglas de detección para tráfico administrativo inesperado hacia NetScaler o ISE.
- Estrategia de Gobernanza
- Infraestructura de Identidad: Considerar la infraestructura de identidad (ISE) y acceso (NetScaler) como una zona de alto riesgo. Establecer controles de acceso reforzados, segmentación estricta y monitorización específica.
- Simulacros: Incluir en los ejercicios de mesa (tabletop) escenarios en los que esta infraestructura de identidad se ve comprometida para medir la capacidad de aislamiento y restauración.
