Selon l’équipe Amazon Threat Intelligence, les attaquants ont exploité les bugs des appliances Cisco et Citrix avant qu’ils ne soient rendus publics, déployant des outils en mémoire personnalisés sur l’infrastructure d’identité principale.
L’équipe Amazon Threat Intelligence a dévoilé une campagne de menace persistante avancée (APT) qui exploitait les vulnérabilités des systèmes Citrix et du moteur de service d’identité (ISE) de Cisco, permettant aux pirates informatiques de violer l’infrastructure d’identité critique avant même que les failles ne soient rendues publiques.
Selon les conclusions d’Amazon, les attaquants ont exploité une « validation d’entrée insuffisante » dans une API publique pour injecter un shell Web personnalisé déguisé en composant Cisco ISE natif, fonctionnant entièrement en mémoire, exploitant la réflexion Java et des routines de décodage non standard pour échapper à la détection.
L’autre faille exploitée lors de la campagne, baptisée Citrix Bleed 2, affectait les appareils Citrix NetScaler ADC et NetScaler Gateway pour permettre la lecture excessive de la mémoire via un problème de validation d’entrée similaire.
« Cette découverte met en évidence la tendance des acteurs malveillants à se concentrer sur les infrastructures critiques de contrôle des identités et des accès au réseau, les systèmes sur lesquels les entreprises s’appuient pour appliquer les politiques de sécurité et gérer l’authentification sur leurs réseaux », a déclaré CJ Moses, RSSI d’Amazon Integrated Security, dans un article de blog.
Citrix n’était pas au courant de l’exploitation de la faille en tant que Zero Day lorsqu’ils l’ont divulguée et corrigée plus tôt cette année. La faille Cisco ISE, cependant, a été signalée par la société ainsi que par la CISA pour des tentatives d’exploitation connues dans la nature.
Outillage et exploitation
Le service de pot de miel d’Amazon « Madpot » a détecté pour la première fois des tentatives d’exploitation de la vulnérabilité Citrix (CVE-2025-5777) avant sa divulgation publique, ce qui suggère une militarisation à l’état sauvage. Une enquête plus approfondie a révélé des charges utiles anormales ciblant un point de terminaison non documenté dans Cisco ISE, exploitant une logique de désérialisation vulnérable pour réaliser l’exécution de code à distance avant l’authentification (CVE-2025-20337).
« Ce qui a rendu cette découverte particulièrement préoccupante, c’est que l’exploitation se produisait dans la nature avant que Cisco n’ait attribué un numéro CVE ou publié des correctifs complets dans toutes les branches concernées de Cisco ISE », a déclaré Moses. « Cette technique d’exploitation est la marque des acteurs malveillants sophistiqués qui surveillent de près les mises à jour de sécurité et exploitent rapidement les vulnérabilités. »
Après avoir obtenu l’accès, l’acteur a déployé un shell Web sur mesure déguisé en composant « IdentityAuditAction » de Cisco ISE. Il fonctionnait entièrement en mémoire, était enregistré en tant qu’écouteur HTTP sur le serveur Tomcat, utilisait le cryptage DES avec un codage Base-64 non standard et nécessitait des en-têtes HTTP spécifiques pour l’accès.
Implication pour la défense des entreprises
L’attaque remet en question les hypothèses selon lesquelles les systèmes de gestion des identités et d’accès au réseau sont intrinsèquement sécurisés. La nature pré-authentification de ces exploits, note le blog, révèle que même des systèmes bien configurés et méticuleusement entretenus peuvent être affectés.
« La campagne a mis en évidence l’évolution des tactiques des acteurs malveillants ciblant les infrastructures critiques des entreprises à la périphérie du réseau », a déclaré Moses. « Les outils personnalisés de l’acteur malveillant ont démontré une compréhension approfondie des applications Java d’entreprise, des composants internes de Tomcat et des nuances architecturales spécifiques du moteur Cisco Identity Service Engine.
Amazon recommande aux organisations d’adopter une défense à plusieurs niveaux, qui consiste notamment à limiter l’accès aux points de terminaison privilégiés des dispositifs de sécurité (pare-feu, proxys, passerelles d’accès), à surveiller les activités inhabituelles en mémoire et à traiter les systèmes d’identité comme des zones à haut risque soumises au même examen minutieux que les serveurs publics.
Cette révélation s’inscrit dans un schéma plus large d’attaquants se tournant vers l’infrastructure d’accès et d’identité à distance, une tendance qui s’est manifestée pour la première fois lors de la vague Citrix Bleed fin 2023, lorsque les exploits de collecte d’informations d’identification contre les appliances Citrix ADC et Gateway ont alimenté des intrusions généralisées.
Depuis lors, d’autres campagnes de ce type ont vu le jour, notamment celle de Scattered Spider impliquant un piratage du service d’assistance permettant d’accéder à l’infrastructure d’identité de la suite C (Microsoft Entra ID/Active Directory).
