Due 0day, un solo attacco: il colpo perfetto contro Citrix e Cisco. La scoperta di Amazon

Amazon ha segnalato un complesso attacco informatico in cui gli aggressori hanno sfruttato simultaneamente due vulnerabilità zero-day, presenti nei prodotti Citrix e Cisco. Secondo il responsabile della sicurezza informatica dell’azienda, CJ Moses, un gruppo sconosciuto ha ottenuto l’accesso ai sistemi sfruttando le falle prima che fossero rese pubbliche e ha distribuito malware personalizzato.

L’incidente è stato rilevato dalla rete honeypot MadPot di Amazon. Sono stati rilevati tentativi di sfruttare la vulnerabilità CVE-2025-5777 in Citrix NetScaler ADC e NetScaler Gateway, un errore di lettura fuori dai limiti.

Questa vulnerabilità consentiva a un aggressore di leggere da remoto il contenuto della memoria del dispositivo e di ottenere dati sensibili della sessione. La vulnerabilità è stata denominata ufficiosamente CitrixBleed 2, in onore di un bug precedente che consentiva agli hacker di rubare i token di autenticazione degli utenti.

Citrix ha pubblicato una patch il 17 giugno, ma ulteriori osservazioni hanno dimostrato che l’exploit era stato utilizzato attivamente anche prima del rilascio della patch. All’inizio di luglio, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti e ricercatori indipendenti hanno confermato lo sfruttamento della vulnerabilità, che ha consentito il dirottamento delle sessioni utente.

Mentre i ricercatori di Amazon analizzavano l’attacco a Citrix, hanno scoperto un altro componente dannoso che prendeva di mira Cisco Identity Services Engine. Si è scoperto che sfruttava un endpoint di rete precedentemente non descritto, vulnerabile a un errore di deserializzazione dei dati. Queste informazioni sono state condivise con Cisco, e le aziende hanno successivamente assegnato al bug l’identificatore CVE-2025-20337.

Questa seconda vulnerabilità ha ricevuto il punteggio massimo di gravità di 10 sulla scala CVSS. Ha consentito ad aggressori remoti e non autorizzati di eseguire codice arbitrario sul server con privilegi di root. Secondo Moses, ciò che è stato particolarmente allarmante è stato il fatto che gli attacchi siano iniziati prima che Cisco documentasse ufficialmente la vulnerabilità e rilasciasse aggiornamenti completi. Questo “sfruttamento della finestra di patch” è considerato una tecnica tipica utilizzata da aggressori ben preparati che monitorano le modifiche al codice e trasformano immediatamente i bug scoperti in strumenti di attacco.

Dopo essere penetrati in Cisco ISE, gli hacker hanno installato una backdoor personalizzata, progettata specificamente per questa piattaforma. Operava esclusivamente nella RAM, senza lasciare praticamente alcuna traccia, e si infiltrava nei processi Java attivi utilizzando un meccanismo di riflessione.

Il malware si registrava nel sistema come listener HTTP, intercettando tutto il traffico proveniente dal server Tomcat. La crittografia DES e la codifica Base64 non standard venivano utilizzate per scopi stealth, e il controllo degli accessi richiedeva la conoscenza di determinate intestazioni HTTP. Sulla base di una combinazione di indicatori, gli esperti hanno concluso che l’attacco non è stato condotto da hacker casuali, ma da un gruppo con una conoscenza approfondita dell’architettura Cisco ISE e delle applicazioni Java aziendali.

Il fatto che possedessero contemporaneamente exploit per CitrixBleed 2 e CVE-2025-20337 indica un elevato livello di sofisticazione da parte degli aggressori. Tali capacità potevano essere possedute solo da un team con ricercatori interni sulle vulnerabilità o con accesso a informazioni non pubbliche sulle vulnerabilità. Né Cisco né Citrix hanno ancora rivelato chi si cela dietro gli attacchi o lo scopo dell’operazione.

Il team di Amazon Threat Intelligence ritiene che questo incidente sia un buon esempio di una tendenza sempre più pericolosa: grandi gruppi APT sfruttano simultaneamente più vulnerabilità per penetrare nei servizi critici, ovvero quelli responsabili dell’autenticazione, del controllo degli accessi e delle policy di rete all’interno delle infrastrutture aziendali.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks