FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

某高级黑客组织正在积极利用思科身份服务引擎（ISE）和Citrix系统中的0Day漏洞。这些在真实攻击中发现的漏洞使攻击者能够部署定制网页后门，深度渗透企业网络。

安全专家指出，攻击者正瞄准管理用户登录和网络控制的关键系统，使企业面临极高风险。

思科与Citrix 0Day漏洞遭利用

事件始于亚马逊的MadPot蜜罐服务，该工具用于诱捕和研究网络威胁。在漏洞公开前，蜜罐就捕获到利用Citrix漏洞（代号"Citrix Bleed Two"，CVE-2025-5777）的攻击尝试。

该0Day漏洞允许攻击者未经授权远程执行代码。亚马逊专家进一步发现，同一批黑客还利用了思科ISE的一个未公开漏洞（现编号CVE-2025-20337）。

该漏洞通过错误的数据处理（反序列化）机制，使外部攻击者无需登录即可执行代码，最终获得受影响系统的完全管理员权限。

令人担忧的是攻击时机——在思科发布CVE编号或针对所有ISE版本的完整补丁前，黑客已在互联网暴露的真实系统中利用这些漏洞。

这种"补丁空窗期"战术展现了攻击者的狡猾：他们密切监控更新，在防御最薄弱时快速出击。亚马逊已向思科共享漏洞细节以加速修复，但损害已然造成。

隐蔽内存驻留后门技术

入侵成功后，黑客植入了一个伪装成思科正常组件"IdentityAuditAction"的定制网页后门。与普通恶意软件不同，该后门专为思科ISE定制。

它完全驻留在内存中运行，避免留下法证团队容易发现的文件痕迹。通过Java反射等技术，它挂钩到系统的Tomcat Web服务器以监控所有流量。为隐藏命令，攻击者采用DES加密和特殊Base64变体，并通过特定HTTP头部触发。

代码分析揭示了其精巧设计：某段例程会从Web请求解码隐藏指令，将"*"等字符替换为"a"，并使用密钥"d384922c"解密有效载荷。这使得黑客能无痕执行任意代码，极大增加检测难度。

大规模无差别攻击

亚马逊分析表明，该组织在互联网上广泛传播这些漏洞利用，而非针对特定目标。其工具展现出对Java应用、Tomcat和思科架构的深入理解，暗示这是一个资金充足、掌握内部漏洞信息或具备顶尖研究能力的团队。

这符合当前攻击趋势：黑客正瞄准身份管理器和远程网关等保护整网安全的边缘防御系统。

安全防护建议

对安全团队而言，此次事件敲响警钟——即使顶级系统也可能沦陷于登录前漏洞利用。亚马逊建议采取分层防御：使用防火墙限制管理门户访问、监控异常Web流量、构建异常行为检测机制。快速打补丁固然关键，但假设已被入侵并制定响应计划同样重要。

此次攻击再次证明，思科和Citrix等关键工具的0Day漏洞可能引发严重混乱。随着黑客技术演进，企业必须保持高度警惕。

参考来源：

Hackers Actively Exploiting Cisco and Citrix 0-Days in the Wild to Deploy Webshell

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）