Đội ngũ tình báo mối đe dọa của Amazon đã phát hiện một tấn công mạng tinh vi. Cuộc tấn công này khai thác các lỗ hổng zero-day chưa được công bố trong cơ sở hạ tầng doanh nghiệp thiết yếu. Các tác nhân đe dọa tiên tiến đang tích cực nhắm mục tiêu vào các hệ thống Cisco Identity Service Engine (ISE) và Citrix, sử dụng các webshell tùy chỉnh. Mục đích là để giành quyền truy cập quản trị trái phép vào các mạng đã bị xâm nhập.

Phát hiện Chiến dịch Khai thác Lỗ hổng Zero-day

Mối đe dọa này lần đầu tiên được xác định thông qua dịch vụ honeypot MadPot của Amazon. Hệ thống này đã phát hiện các nỗ lực khai thác chống lại lỗ hổng Citrix Bleed Two (CVE-2025-5777) trước khi thông tin được công khai. Việc phát hiện sớm này cho thấy các tác nhân đe dọa tinh vi đã vũ khí hóa lỗ hổng này thành một lỗ hổng zero-day đang bị khai thác trong thực tế.

Trong quá trình điều tra, Amazon Threat Intelligence đã phát hiện thêm một lỗ hổng zero-day đồng hành khác ảnh hưởng đến Cisco ISE. Cuộc điều tra toàn diện này đã làm sáng tỏ một chiến dịch tấn công phức tạp, nhắm vào các điểm yếu cốt lõi trong cơ sở hạ tầng quản lý danh tính và truy cập.

Chiến dịch này nhấn mạnh khả năng của các nhóm tấn công có nguồn lực tốt trong việc phát hiện và khai thác các điểm yếu chưa biết, gây ra rủi ro nghiêm trọng cho các tổ chức trên toàn cầu.

Chi tiết Lỗ hổng Citrix Bleed Two (CVE-2025-5777)

Các tác nhân đe dọa đã khởi động chiến dịch bằng việc khai thác CVE-2025-5777, một lỗ hổng zero-day quan trọng ảnh hưởng đến các hệ thống Citrix. Lỗ hổng này cho phép kẻ tấn công vượt qua các biện pháp bảo vệ và truy cập vào các tài nguyên nội bộ. Điều đáng chú ý là MadPot của Amazon đã ghi nhận các hoạt động khai thác này ngay cả trước khi cộng đồng bảo mật được thông báo chính thức về sự tồn tại của lỗ hổng.

Việc khai thác lỗ hổng trước khi được công bố rộng rãi cho thấy rằng kẻ tấn công có thể đã tự mình phát hiện ra điểm yếu này. Hoặc là họ đã mua thông tin về nó từ các thị trường đen. Khả năng vũ khí hóa và triển khai khai thác nhanh chóng cho thấy sự tinh vi và nguồn lực đáng kể của nhóm tấn công.

Khai thác Lỗ hổng Zero-day trên Cisco ISE (CVE-2025-20337)

Song song với việc tấn công Citrix, kẻ tấn công đã khai thác một lỗ hổng deserialization trên một endpoint không được ghi nhận trong Cisco ISE. Lỗ hổng này đã cho phép thực thi mã từ xa trước xác thực (pre-authentication remote code execution) trên các hệ thống bị ảnh hưởng. Đây là một kịch bản tấn công cực kỳ nguy hiểm, vì nó cho phép kẻ tấn công thực thi mã tùy ý mà không cần xác thực ban đầu.

Lỗ hổng này, được định danh là CVE-2025-20337, cấp cho kẻ tấn công quyền truy cập ở cấp quản trị viên mà không yêu cầu bất kỳ thông tin đăng nhập nào. Điều này có nghĩa là bất kỳ hệ thống Cisco ISE nào dễ bị tổn thương và tiếp xúc với internet đều có thể bị kiểm soát hoàn toàn.

Mối quan ngại lớn nhất là việc khai thác lỗ hổng đã diễn ra trước khi Cisco phát hành các bản vá toàn diện. Đây là một chiến thuật phổ biến của các tác nhân đe dọa tinh vi. Họ thường theo dõi các thông báo cập nhật bảo mật và nhanh chóng phát triển mã khai thác để tấn công trước khi các bản vá được triển khai rộng rãi.

Để biết thêm thông tin chi tiết về các cảnh báo bảo mật liên quan đến Cisco ISE, độc giả có thể tham khảo từ các nguồn đáng tin cậy như blog bảo mật của Amazon.

Phân tích Webshell tùy chỉnh: IdentityAuditAction

Sau khi khai thác thành công một trong hai lỗ hổng, tác nhân đe dọa đã triển khai một webshell tùy chỉnh cực kỳ tinh vi. Webshell này được thiết kế để ngụy trang thành một thành phần hợp pháp của Cisco ISE, cụ thể là IdentityAuditAction. Việc đặt tên này nhằm mục đích né tránh sự phát hiện và hòa nhập vào môi trường hệ thống bình thường.

Backdoor được xây dựng tùy chỉnh này được thiết kế đặc biệt cho môi trường Cisco ISE. Nó thể hiện các khả năng né tránh và chống phân tích tiên tiến. Điểm đáng chú ý là webshell này hoạt động hoàn toàn trong bộ nhớ, một kỹ thuật giúp giảm thiểu đáng kể các bằng chứng pháp y trên đĩa, khiến việc phát hiện và điều tra trở nên cực kỳ khó khăn.

Webshell đã tận dụng Java reflection để tự tiêm vào các luồng ứng dụng đang chạy. Đồng thời, nó tự đăng ký làm trình nghe yêu cầu HTTP trên máy chủ Tomcat của Cisco ISE. Điều này cho phép kẻ tấn công duy trì quyền truy cập dai dẳng và kiểm soát hệ thống từ xa thông qua các yêu cầu HTTP được mã hóa.

Để tránh các cơ chế phát hiện truyền thống, kẻ tấn công đã triển khai một hệ thống mã hóa DES không tiêu chuẩn kết hợp với mã hóa Base64 tùy chỉnh. Sự kết hợp này làm cho lưu lượng truy cập của webshell trở nên khó phân tích và phát hiện bằng các giải pháp bảo mật thông thường.

Việc truy cập vào webshell đòi hỏi kẻ tấn công phải có kiến thức về các tiêu đề HTTP cụ thể và một lớp xác thực bổ sung. Điều này minh chứng cho trình độ phát triển chuyên nghiệp và sự tỉ mỉ trong việc thiết kế công cụ tấn công của nhóm đe dọa.

Mức độ Tinh vi và Khả năng của Tác nhân Đe dọa

Cuộc điều tra của Amazon đã xác nhận rằng các tác nhân đe dọa đang tích cực khai thác cả hai lỗ hổng zero-day này. Họ nhắm mục tiêu bừa bãi vào các hệ thống Cisco ISE và Citrix tiếp xúc với internet. Mô hình tấn công này cho thấy một đối thủ có nguồn lực đáng kể với khả năng nghiên cứu lỗ hổng tiên tiến. Hoặc là họ có quyền truy cập vào thông tin lỗ hổng không công khai từ các nguồn khác.

Bộ công cụ tùy chỉnh của kẻ tấn công cho thấy chuyên môn sâu rộng về các ứng dụng Java doanh nghiệp, hiểu biết về nội bộ Tomcat và kiến trúc cụ thể của Cisco ISE. Khả năng thiết kế một webshell hoạt động trong bộ nhớ, sử dụng mã hóa tùy chỉnh và duy trì quyền truy cập ổn định trên các hệ thống phức tạp như vậy là minh chứng rõ ràng cho trình độ kỹ thuật cao.

Khả năng khai thác đồng thời nhiều lỗ hổng zero-day chưa được tiết lộ nhấn mạnh sự tinh vi kỹ thuật của chiến dịch này. Điều này cũng cho thấy một mức độ kiên trì và đầu tư đáng kể vào việc phát triển công cụ tấn công.

Khuyến nghị Bảo mật và Phòng ngừa Tấn công Mạng

Các nhóm bảo mật cần nhận thức rõ rằng các hệ thống quản lý danh tính (như Cisco ISE) và cơ sở hạ tầng truy cập từ xa (như Citrix) vẫn là mục tiêu hàng đầu. Đây là những điểm thu hút chính cho các tác nhân đe dọa tiên tiến do vai trò quan trọng của chúng trong việc kiểm soát quyền truy cập và xác thực.

Mặc dù các hệ thống này thường được cấu hình và bảo trì tỉ mỉ, chúng vẫn cực kỳ dễ bị tổn thương bởi các cuộc khai thác trước xác thực (pre-authentication exploits). Các cuộc tấn công như vậy có thể bỏ qua các lớp bảo mật thông thường, cho phép kẻ tấn công chiếm quyền kiểm soát trước cả khi xác thực người dùng.

Các tổ chức được khuyến nghị mạnh mẽ triển khai các chiến lược phòng thủ theo chiều sâu (defense-in-depth) toàn diện. Điều này bao gồm việc kết hợp nhiều lớp kiểm soát bảo mật để bảo vệ chống lại nhiều loại tấn công khác nhau. Quan trọng hơn, cần tăng cường khả năng phát hiện bất thường (anomaly detection) mạnh mẽ để kịp thời nhận diện các hành vi bất thường hoặc đáng ngờ.

Amazon đặc biệt khuyến nghị triển khai các hạn chế truy cập dựa trên tường lửa (firewall-based access restrictions) đối với các điểm cuối của thiết bị bảo mật đặc quyền và cổng quản lý. Việc giới hạn sự phơi nhiễm của các hệ thống quan trọng này chỉ với các địa chỉ IP hoặc mạng đáng tin cậy có thể giảm thiểu đáng kể bề mặt tấn công và nguy cơ bị khai thác từ bên ngoài.