НаверхВсе очень плохо: новая уязвимость в Cisco и Citrix позволяет взломать кого угодно
Хакеры создали хитрое вредоносное ПО, которое маскируется под системный компонент и работает прямо в памяти. Обнаружить его почти невозможно.
14.11.2025
14:47
Основные идеи
Уязвимость CVE-2025-20337 получила рейтинг 10/10 и позволяет удаленно выполнить код в Cisco ISE.
Атакующие устанавливают веб-шелл, который работает в оперативной памяти и обходит защиту.
Атаки носят массовый характер и не нацелены на конкретные отрасли или компании.
Мнение автора
Это крайне опасная ситуация. Вредонос работает в оперативной памяти, поэтому обычные файловые антивирусы его не увидят. Проблема не в файлах, а в процессах. Системным администраторам нужно срочно переходить от простого сканирования к поведенческому анализу и мониторингу сетевой активности.
Эксперты по безопасности бьют тревогу. Хакеры научились использовать уязвимость нулевого дня, которая затрагивает системы Cisco Identity Service Engine (ISE) и Citrix. Она получила максимальный уровень опасности, потому что позволяет устанавливать кастомное вредоносное ПО для бэкдора.
Исследователи заявили, что наткнулись на новую проблему совершенно случайно, когда изучали другую уязвимость под названием Citrix Bleed Two. Выяснилось, что злоумышленники могут удаленно выполнить код на взломанных устройствах и получить права администратора. Новой уязвимости уже присвоили номер CVE-2025-20337 и критический рейтинг опасности — 10 из 10.
Как работает атака
Проблема кроется в специфическом API систем Cisco ISE и Cisco ISE-PIC. Из-за уязвимости злоумышленник, у которого нет учетных данных, может удаленно выполнить любой код в операционной системе с правами суперпользователя.
Видео от DGL.RU
Чтобы провернуть атаку, хакеру не нужны никакие логины и пароли. Достаточно лишь отправить специально сформированный API-запрос.
С помощью этой уязвимости хакеры устанавливали кастомный веб-шелл, который маскировался под легитимный компонент Cisco ISE с названием IdentityAuditAction. Эксперты отмечают, что это не было какое-то стандартное вредоносное ПО. Его создали специально для атак на окружения Cisco ISE.
Веб-шелл обладал продвинутыми возможностями, которые помогали ему избегать обнаружения. Он работал полностью в оперативной памяти, использовал рефлексию Java, чтобы внедриться в запущенные процессы, и регистрировался как слушатель для мониторинга всех HTTP-запросов на сервере Tomcat. Кроме того, он использовал шифрование DES с нестандартной кодировкой Base64, а для доступа требовал знания определенных HTTP-заголовков.
Исследователи не смогли приписать атаки какой-либо конкретной хакерской группировке. Они также подчеркнули, что атаки не были нацелены на определенную отрасль или организацию. Вместо этого их использовали массово и без разбора против максимально возможного числа целей.
Подпишитесь на наши новости: