أعلنت وحدة استخبارات التهديدات التابعة لشركة أمازون أن جهة تهديد متقدمة استغلت ثغرتين من نوع يوم الصفر في منتجي Cisco Identity Service Engine (ISE) وCitrix NetScaler ADC، في سلسلة هجمات هدفت إلى نشر برمجيات خبيثة مخصصة.
وقال سي جي موسز، كبير مسؤولي أمن المعلومات في Amazon Integrated Security، في تقريرٍ مشترك مع موقع The Hacker News:
“يكشف هذا الاكتشاف عن اتجاهٍ متصاعدٍ بين المهاجمين نحو استهداف أنظمة التحكم في الهوية والوصول الشبكي، وهي البنية التي تعتمد عليها المؤسسات لتطبيق سياساتها الأمنية وإدارة المصادقة داخل شبكاتها.”
تفاصيل الثغرتين المستخدمتين في الهجوم
رُصدت الهجمات بواسطة شبكة الفخاخ الرقمية التابعة لأمازون والمعروفة باسم MadPot، والتي كشفت عن استغلال الثغرتين التاليتين:
-
CVE-2025-5777 أو ما يُعرف باسم Citrix Bleed 2 (بدرجة خطورة 9.3): ثغرة ناجمة عن ضعف في التحقق من المدخلات داخل منتجات Citrix NetScaler ADC وGateway، يمكن استغلالها لتجاوز المصادقة. وقد أصلحت Citrix هذه الثغرة في يونيو 2025.
-
CVE-2025-20337 (بدرجة خطورة 10.0): ثغرة تنفيذ تعليمات برمجية عن بُعد دون مصادقة في نظام Cisco Identity Services Engine (ISE) ومكوّن ISE Passive Identity Connector (ISE-PIC)، تتيح للمهاجم تنفيذ أوامر على النظام كـمستخدم جذر (root). وأُصلحت هذه الثغرة في يوليو 2025.
وأوضح التقرير أن كلتا الثغرتين خضعتا لاستغلال فعلي في البرية قبل إصدار التصحيحات الأمنية، وأن تحقيقات أمازون أظهرت الطبيعة الدقيقة للهجمات التي اعتمدت عليهما.
هجمات متقدمة تستهدف أنظمة المصادقة
أشارت أمازون إلى أن محاولات استغلال CVE-2025-5777 كانت البداية، إذ أدى تحليل أعمق للنشاط المشبوه إلى اكتشاف حمولة خبيثة موجّهة خصيصًا لأنظمة Cisco ISE عبر استغلال CVE-2025-20337.
وانتهى الهجوم بزرع قوقعة ويب (Web Shell) مخصصة تم تمويهها على أنها مكوّن شرعي في النظام باسم IdentityAuditAction.
قال موسز:
“لم تكن هذه برمجية خبيثة تقليدية جاهزة، بل بابًا خلفيًا مصممًا خصيصًا لبيئات Cisco ISE.”
تميّزت هذه القوقعة بقدرات متقدمة للتخفي، إذ تعمل كليًا في الذاكرة دون حفظ ملفات، وتستخدم آلية Java Reflection للحقن في العمليات الجارية، كما تسجّل نفسها كمستمع يراقب كل الطلبات عبر خادم Tomcat، وتطبّق تشفير DES مع ترميز Base64 غير قياسي لتفادي الاكتشاف.
خصائص الحملة والجهة المنفذة
وصفت أمازون الحملة بأنها عشوائية واسعة النطاق، لكنها أشارت إلى أن الجهة المنفذة “ذات موارد عالية”، لقدرتها على استخدام عدة ثغرات يوم الصفر في وقتٍ واحد، مما يدل إما على امتلاكها مهارات بحثية متقدمة في اكتشاف الثغرات، أو وصولها إلى معلومات غير منشورة حول الثغرات الأمنية.
كما يعكس استخدام أدوات مخصصة معرفة تقنية عميقة لدى المهاجمين ببنية تطبيقات Java المؤسسية، وآلية عمل خوادم Tomcat، والتفاصيل الداخلية لنظام Cisco ISE.
أهمية الحماية متعددة الطبقات
أعادت هذه النتائج تسليط الضوء على استمرار الجهات الخبيثة في استهداف أجهزة حافة الشبكة كبوابة لاختراق المؤسسات، ما يستدعي من المنظمات تقليل الوصول إلى بوابات الإدارة المميزة عبر جدران نارية أو طبقات وصول متعددة.
وأضاف موسز محذرًا:
“الطبيعة المسبقة للمصادقة في هذه الثغرات تعني أن حتى الأنظمة الآمنة والمنفذة بعناية يمكن أن تتأثر، مما يؤكد ضرورة تبني استراتيجيات دفاع متعمقة وتطوير قدرات كشف سلوكية قادرة على رصد الأنماط غير المألوفة في الوقت الفعلي.”
