Peretas Eksploitasi Zero-Day Citrix dan Cisco ISE untuk Menanam Malware Kustom
Sebuah aktor ancaman tingkat lanjut diketahui mengeksploitasi dua kerentanan kritis—“Citrix Bleed 2” (CVE-2025-5777) pada NetScaler ADC dan Gateway, serta CVE-2025-20337 pada Cisco Identity Services Engine (ISE)—sebagai zero-day untuk memasang malware kustom dalam serangkaian serangan terarah.
Temuan ini berasal dari tim intelijen ancaman Amazon yang menganalisis data honeypot “MadPot.” Mereka mendeteksi percobaan eksploitasi terhadap Citrix Bleed 2 bahkan sebelum vendor merilis pengungkapan publik maupun tambalan keamanan. Penyelidikan lebih lanjut mengungkap payload anomali yang juga menargetkan endpoint Cisco ISE yang sebelumnya tidak terdokumentasi.
Citrix Bleed 2 sendiri merupakan kerentanan out-of-bounds memory read pada NetScaler ADC dan Gateway. Citrix merilis perbaikan pada akhir Juni, dan meski konfirmasi eksploitasi membutuhkan waktu, laporan pihak ketiga telah menunjukkan adanya serangan aktif sebelum exploit publik tersedia pada awal Juli. CISA kemudian mencantumkan CVE-2025-5777 sebagai kerentanan yang dieksploitasi.
Sementara itu, CVE-2025-20337 pada Cisco ISE—yang memiliki skor keparahan maksimum—dipublikasikan pada 17 Juli, dengan peringatan bahwa celah ini memungkinkan penyerang tidak terautentikasi untuk menyimpan file berbahaya, mengeksekusi kode arbitrer, atau memperoleh hak akses root. Hanya dalam lima hari, Cisco kembali memperingatkan bahwa celah tersebut telah dieksploitasi secara aktif.
Menurut laporan Amazon, kedua kerentanan tersebut telah dimanfaatkan dalam serangan APT sebelum Cisco dan Citrix merilis buletin keamanan pertama mereka. Eksploitasi terhadap Cisco ISE memungkinkan penyerang memperoleh akses admin pra-autentikasi pada endpoint, lalu menanam web shell kustom bernama IdentityAuditAction yang menyamar sebagai komponen resmi ISE.
Web shell tersebut bertindak sebagai HTTP listener untuk mencegat semua permintaan, menggunakan refleksi Java untuk menyuntikkan dirinya ke dalam thread server Tomcat. Ia juga memanfaatkan enkripsi DES dengan encoding Base64 non-standar untuk menyulitkan deteksi, memerlukan header HTTP tertentu untuk akses, dan meninggalkan jejak forensik minimal.
Penggunaan beberapa zero-day yang belum diungkap, ditambah pemahaman mendalam tentang arsitektur Java/Tomcat dan Cisco ISE, menunjukkan bahwa pelaku merupakan aktor ancaman berkapabilitas tinggi. Meski demikian, Amazon belum dapat mengaitkan aktivitas ini dengan kelompok tertentu, dan pola serangannya terlihat tidak terarah—sesuatu yang tidak lazim dalam operasi bertarget milik APT berkemampuan tinggi.
Administrator disarankan segera menerapkan pembaruan keamanan untuk CVE-2025-5777 dan CVE-2025-20337, serta memperketat akses ke perangkat jaringan melalui firewall dan penerapan network layering.
