- يتيح CVE-2025-20337 تنفيذ تعليمات برمجية عن بعد غير مصادق عليها في أنظمة Cisco ISE
- قام المهاجمون بنشر أغلفة الويب المخصصة في الذاكرة باستخدام تقنيات التهرب والتشفير المتقدمة
- وكانت عمليات الاستغلال واسعة النطاق وعشوائية، دون إسناد صناعة أو جهة فاعلة محددة
زعم الخبراء أن الجهات الفاعلة في مجال التهديد “المتطورة” تستخدم ثغرة أمنية يومية شديدة الخطورة في محرك خدمة الهوية Cisco (ISE) وأنظمة Citrix لنشر برامج ضارة مخصصة للأبواب الخلفية.
قال فريق استخبارات التهديدات في أمازون إنه عثر مؤخرًا على التحقق غير الكافي من ثغرة المدخلات المقدمة من المستخدم في عمليات نشر Cisco ISE، وتحقيق تنفيذ التعليمات البرمجية عن بعد للمصادقة المسبقة على نقاط النهاية المعرضة للخطر وتوفير الوصول على مستوى المسؤول إلى الأنظمة.
اكتشف الباحثون التسلل أثناء التحقيق في ثغرة Citrix Bleed Two والتي تم استغلالها أيضًا باعتبارها ثغرة يوم صفر. يتم الآن تتبع الخطأ الذي تم العثور عليه حديثًا باسم CVE-2025-20337 وتم تعيين درجة خطورة له تبلغ 10/10 (حرجة).
إخفاء البرامج الضارة في الخطوط المخصصة
تشرح صفحة NVD أن “الثغرة الأمنية في واجهة برمجة تطبيقات محددة لـ Cisco ISE وCisco ISE-PIC يمكن أن تسمح لمهاجم بعيد غير مصادق عليه بتنفيذ تعليمات برمجية عشوائية على نظام التشغيل الأساسي كجذر”.
وأضاف الاستشارة: “لا يحتاج المهاجم إلى أي بيانات اعتماد صالحة لاستغلال هذه الثغرة الأمنية”، مشددًا على أنه يمكن للمهاجم استغلالها عن طريق إرسال طلب واجهة برمجة التطبيقات (API) المُعد.
تم استخدام الثغرة الأمنية لنشر غلاف ويب مخصص متنكر في شكل مكون شرعي من Cisco ISE يسمى IdentityAuditAction، كما أوضحت أمازون، مشيرة إلى أن البرامج الضارة لم تكن نموذجية، أو جاهزة للاستخدام، بل تم تصميمها خصيصًا لبيئات Cisco ISE.
يأتي هيكل الويب مزودًا بإمكانيات مراوغة متقدمة، بما في ذلك التشغيل بالكامل في الذاكرة، واستخدام انعكاس Java لإدخال نفسه في سلاسل الرسائل قيد التشغيل، والتسجيل كمستمع لمراقبة جميع طلبات HTTP عبر خادم Tomcat. كما أنها نفذت تشفير DES بتشفير Base64 غير القياسي، وتطلبت معرفة رؤوس HTTP محددة للوصول إليها.
ولم تنسب أمازون الهجمات إلى أي جهة تهديد معينة، وقالت إن الهجمات لم تستهدف أي صناعة أو منظمة محددة. وبدلاً من ذلك، تم استخدامه بشكل عشوائي وضد أكبر عدد ممكن من المنظمات.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات