最新的網路安全情報發出嚴重警示，涉及針對企業邊緣網路設備的零時差攻擊。這場攻擊行動的幕後黑手，被認定為具備頂尖技術實力的進階威脅行為者，其手法顯示出對目標系統架構的深入掌握。

進階威脅行為者利用 NetScaler ADC 和 Gateway 中的嚴重漏洞「Citrix Bleed 2」（CVE-2025-5777）以及影響 Cisco Identity Service Engine (ISE) 的 CVE-2025-20337 作為零時差漏洞部署自訂惡意軟體。亞馬遜的威脅情報團隊分析了「MadPot」蜜罐數據後發現，駭客在安全問題公開披露和修補程式發布之前就利用了這兩個安全問題。 「Citrix Bleed 2」是 NetScaler ADC 和 Gateway 中的記憶體越界讀取問題，Citrix 雖已發布修復，但利用活動早已開始。
ISE 中的漏洞（CVE-2025-20337）被評為最高嚴重性級別，於 7 月 17 日發布。思科當時警告稱，該漏洞可能被利用，使未經身份驗證的攻擊者能夠在易受攻擊的裝置上儲存惡意檔案、執行任意程式碼或獲得 root 權限。不到五天，該廠商再次發布警告，稱CVE-2025-20337漏洞正被積極利用。 7 月 28 日，研究員Bobby Gould 在一篇論文中公佈了包括漏洞利用鏈在內的技術細節。 駭客利用 CVE-2025-20337 漏洞獲得了 Cisco ISE 端點的預先認證管理員存取權限，並部署了一個名為「IdentityAuditAction」的自訂 Web Shell，偽裝成合法的 ISE 元件。該 Web Shell 註冊為 HTTP 監聽器以攔截所有請求，並使用 Java 反射將請求注入到 Tomcat 伺服器執行緒中。利用多個未公開的零時差漏洞，以及對 Java/Tomcat 內部機制和 Cisco ISE 架構的深入了解，都顯示攻擊者擁有雄厚的資源和高超的技術。
該客製化 Web Shell 為了有效躲避安全產品的偵測與鑑識分析，還採用了 DES 加密與非標準的 Base64 編碼，並且需要特定的 HTTP 標頭才能觸發執行，這使得安全團隊難以追蹤。 這次攻擊目標似乎是無差別的，這與此類威脅行為者通常採取的高度針對性的行動的嚴格範圍並不相符。建議套用 CVE-2025-5777 和 CVE-2025-20337 的可用安全性更新，並透過防火牆和分層限制對邊緣網路設備的存取。 面對如此複雜且資源雄厚的攻擊者，企業組織必須將這些安全公告視為最高優先級別的修補任務。立即實施緊急修補、進行網路分段、並加強對邊緣網路設備的監控，是當前減輕風險、保護關鍵業務連續性的首要措施。

註：
Citrix Bleed 2 是 NetScaler ADC 和 Gateway 的一個越界記憶體讀取問題，該供應商在6 月下旬發布了修復程式。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-exploited-citrix-cisco-ise-flaws-in-zero-day-attacks/