Redazione RHC : 13 noviembre 2025 13:56
Amazon informó de un ciberataque complejo en el que los atacantes explotaron simultáneamente dos vulnerabilidades de día cero en productos de Citrix y Cisco. Según el director de seguridad de la información de la compañía, CJ Moses , un grupo desconocido accedió a los sistemas explotando las vulnerabilidades antes de que se hicieran públicas y distribuyó malware personalizado.
El incidente fue detectado por la red honeypot MadPot de Amazon . Se detectaron intentos de explotar la vulnerabilidad CVE-2025-5777 en Citrix NetScaler ADC y NetScaler Gateway , un error de lectura fuera de límites.
Esta vulnerabilidad permitía a un atacante leer de forma remota el contenido de la memoria del dispositivo y obtener datos confidenciales de la sesión . La vulnerabilidad se conoce extraoficialmente como CitrixBleed 2, en referencia a un fallo anterior que permitía a los hackers robar tokens de autenticación de usuario.
Citrix publicó un parche el 17 de junio, pero observaciones posteriores demostraron que la vulnerabilidad se había explotado activamente incluso antes de su publicación. A principios de julio, la Agencia de Ciberseguridad e Infraestructura de Seguridad Nacional (CISA) de EE. UU. e investigadores independientes confirmaron que la vulnerabilidad había sido explotada, permitiendo el secuestro de sesiones de usuario.
Mientras los investigadores de Amazon analizaban el ataque a Citrix, descubrieron otro componente malicioso dirigido a Cisco Identity Services Engine . Este componente explotaba una vulnerabilidad en un punto de conexión de red, hasta entonces desconocida, que sufría un error de deserialización de datos. Esta información se compartió con Cisco, y posteriormente ambas compañías asignaron a la vulnerabilidad el identificador CVE-2025-20337.
Esta segunda vulnerabilidad obtuvo la máxima puntuación de gravedad (10) en la escala CVSS. Permitía a atacantes remotos no autorizados ejecutar código arbitrario en el servidor con privilegios de administrador. Según Moses , lo más alarmante fue que los ataques comenzaron antes de que Cisco documentara oficialmente la vulnerabilidad y publicara las actualizaciones completas. Esta «explotación de la ventana de parches» se considera una técnica típica utilizada por atacantes experimentados que supervisan los cambios en el código y convierten inmediatamente los errores detectados en herramientas de ataque.
Tras penetrar en Cisco ISE, los hackers instalaron una puerta trasera personalizada diseñada específicamente para esta plataforma. Operaba exclusivamente en la RAM, sin dejar prácticamente rastro, e infiltraba los procesos Java en ejecución mediante un mecanismo de reflexión.
El malware se registró en el sistema como un receptor HTTP , interceptando todo el tráfico del servidor Tomcat. Para ocultarse, empleó cifrado DES y codificación Base64 no estándar, y el control de acceso requería conocer ciertas cabeceras HTTP. Basándose en una combinación de indicadores, los expertos concluyeron que el ataque no fue perpetrado por hackers aleatorios, sino por un grupo con un profundo conocimiento de la arquitectura de Cisco ISE y las aplicaciones Java empresariales.
El hecho de que poseyeran simultáneamente exploits para CitrixBleed 2 y CVE-2025-20337 indica un alto nivel de sofisticación por parte de los atacantes. Tales capacidades solo podrían haber sido propias de un equipo con investigadores internos de vulnerabilidades o con acceso a información confidencial sobre vulnerabilidades. Ni Cisco ni Citrix han revelado aún la identidad de los atacantes ni el propósito de la operación.
El equipo de Inteligencia de Amenazas de Amazon cree que este incidente es un buen ejemplo de una tendencia cada vez más peligrosa: grandes grupos APT que explotan simultáneamente múltiples vulnerabilidades para penetrar en servicios críticos, concretamente aquellos responsables de la autenticación, el control de acceso y las políticas de red dentro de la infraestructura corporativa.
RedazioneA menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
Un hallazgo excepcional de los primeros tiempos de Unix podría llevar a los investigadores a los mismísimos orígenes del sistema operativo. En la Universidad de Utah se descubrió una cinta magnét...
