해커들이 Cisco와 Citrix 제로데이를 악성코드의 악몽으로 만들고 있습니다.
- CVE-2025-20337은 Cisco ISE 시스템에서 인증되지 않은 원격 코드 실행을 허용합니다.
- 공격자는 고급 회피 및 암호화 기술을 사용하여 메모리에 사용자 지정 웹 셸을 배포했습니다.
- 어떤 부문이나 특정 행위자의 귀속도 없이 착취가 광범위하고 무차별적으로 이루어졌습니다.
전문가들은 “정교한” 위협 행위자가 맞춤형 백도어 악성 코드를 배포하기 위해 Cisco ISE(Identity Service Engine) 및 Citrix 시스템의 최대 심각도 제로 데이 취약점을 사용해 왔다고 주장했습니다.
Amazon의 위협 인텔리전스 팀은 최근 Cisco ISE 배포에서 사용자가 제공한 입력 취약성에 대한 검증이 충분하지 않아 손상된 엔드포인트에서 사전 인증 원격 코드 실행을 달성하고 시스템에 대한 관리자 수준 액세스를 제공했다고 밝혔습니다.
연구원들은 제로데이로도 악용되고 있던 Citrix Bleed Two 취약점을 조사하던 중 침입을 발견했습니다. 새로 발견된 버그는 이제 CVE-2025-20337로 추적되며 심각도 점수 10/10(긴급)이 할당되었습니다.
사용자 정의 글꼴로 악성코드 숨기기
NVD 페이지에서는 “Cisco ISE 및 Cisco ISE-PIC의 특정 API에 있는 취약점으로 인해 인증되지 않은 원격 공격자가 기본 운영 체제에서 루트로 임의 코드를 실행할 수 있습니다.”라고 설명합니다.
경고는 “공격자는 이 취약점을 악용하기 위해 유효한 자격 증명을 요구하지 않습니다”라고 덧붙이며 공격자가 조작된 API 요청을 보내 이를 악용할 수 있다고 강조했습니다.
이 취약점은 IdentityAuditAction이라는 합법적인 Cisco ISE 구성 요소로 가장하는 사용자 지정 웹 셸을 배포하는 데 사용되었습니다. Amazon은 이 악성 코드가 기성품이 아니라 Cisco ISE 환경을 위해 특별히 설계 및 제작되었다고 덧붙였습니다.
웹 셸에는 메모리에서 완전히 작동하고, Java 리플렉션을 사용하여 실행 중인 스레드에 삽입하고, 리스너로 등록하여 Tomcat 서버에 대한 모든 HTTP 요청을 모니터링하는 등의 고급 회피 기능이 포함되어 있습니다. 또한 비표준 Base64 인코딩을 사용하여 DES 암호화를 구현했으며 액세스하려면 특정 HTTP 헤더에 대한 지식이 필요했습니다.
아마존은 이번 공격을 특정 위협 행위자의 소행으로 간주하지 않았으며 해당 공격이 특정 산업이나 조직을 표적으로 삼은 것이 아니라고 밝혔습니다. 대신, 가능한 한 많은 조직을 대상으로 무차별적으로 사용되었습니다.
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도