Source:https://thehackernews.com/2025/11/amazon-uncovers-attacks-exploited-cisco.html
🛡 概要
Amazonの脅威インテリジェンスは、Cisco Identity Services Engine(ISE)および Citrix NetScaler ADC/Gateway のゼロデイを連鎖的に突く攻撃を観測しました。悪用されたのは、Citrixの認証回避(CVE-2025-5777、通称「Citrix Bleed 2」、CVSS 9.3)と、Cisco ISE/ISE-PIC の未認証RCE(CVE-2025-20337、CVSS 10.0)です。いずれも攻撃当時は未修正でしたが、Citrixは2025年6月、Ciscoは2025年7月に修正を公開済みとされています。最終的に攻撃者は、Cisco ISE上に正規コンポーネントを装うカスタムWebシェル「IdentityAuditAction」を展開し、秘匿性の高い常駐化を図りました。
🔍 技術詳細
観測された攻撃は、まずネットワーク縁(エッジ)にあるアプライアンスを標的とします。初手として、インターネットに公開された Citrix NetScaler ADC/Gateway に対して、入力検証不備を突く認証回避(CVE-2025-5777)が試行され、正規認証を経ずにセッション取得・管理面への到達を狙います。並行して、Cisco ISE/ISE-PIC に対して未認証で到達可能なリモートコード実行(CVE-2025-20337)が突かれ、OS上でroot権限の任意コード実行に至ります。
Cisco ISE側では、攻撃者はファイルドロップを極力避け、Javaのリフレクション機構を用いて実行中JVMのスレッドにインメモリで自己注入します。これにより、Tomcatサーバ全体のHTTPリクエストを横断的に監視するリスナーとして自身を登録し、通信に含まれるコマンド/レスポンスを秘匿します。ペイロードはDES暗号と非標準のBase64エンコードを併用し、静的・動的解析やシグネチャ型検知を回避します。Webシェルは正規のCisco ISEコンポーネントを思わせる名称「IdentityAuditAction」を用い、運用者の目視監査や簡易的なファイル整合性検査からの露見を妨げます。これら一連の手口は、エッジ機器→ID基盤の順にゼロデイを連結させ、最小の痕跡で高権限を確保することを目的としています。
⚠ 影響
・ネットワークアクセス制御(NAC)や認証ワークフローの信頼性が損なわれ、ポリシー改変や不正アクセス承認のリスクが高まります。
・Cisco ISE上の設定・ログ・アイデンティティ関連メタデータへの不正取得・改ざんの恐れ。
・NetScalerの管理プレーンが迂回された場合、VPN/ゲートウェイ面での認証強度低下やセッション乗っ取りの可能性。
・サービス停止回避を優先した暫定対応が攻撃者の常駐化を長期化させるリスク。
CVSS: CVE-2025-5777(9.3)、CVE-2025-20337(10.0)。いずれも事前認証での悪用が可能で、影響範囲は広範です。
🛠 対策
・ベンダーパッチの即時適用:Citrix(2025年6月公開の修正版)、Cisco(2025年7月公開の修正版)へアップグレード。
・管理プレーンの隔離:インターネット直公開を廃止し、管理向けは管理ネットワーク/VPN内へ限定。mTLSやソースIP制限を併用。
・WAF/リバースプロキシでの防御:異常に長いパラメータ、非標準Base64パターン、未知のエンドポイント呼び出しをブロック/警告。
・JVM/Tomcat健全性点検:不審なリスナー/フィルタ/Servlet登録の有無、クラスローダの異常、スレッドダンプに未知クラス(例:IdentityAuditAction)参入がないか確認。
・資格情報/トークンの棚卸し・ローテーション:特にISE連携の管理者アカウントとAPIトークン。
・ネットワーク分離とゼロトラスト強化:ISE/ADCの東西トラフィックは最小権限でセグメント化し、必要ポートのみ許可。
📌 SOC視点
・Citrix NetScaler:認証ログ/AAAログの失敗と成功の偏在、MFAイベントを経ないセッション確立、管理UIへの新規ASNからの短時間大量アクセス、異常なリクエスト長。
・Cisco ISE/Tomcat:access_log/catalina.out におけるリスナー登録やリフレクション失敗の痕跡、未知クラス名のスタックトレース、通常運用で見られない長大なBase64様文字列(アルファベットセットがRFC4648標準と乖離)のPOST。
・NDR/ネットワークフロー:ISE宛のHTTPトラフィックでエントロピーの高いペイロードが一定周期で到来するパターン、ユーザー操作のない時間帯の管理ポート通信。
・EDR代替:アプライアンス上でエージェントが動作しない前提で、リバースプロキシ/ファイアウォール/ロードバランサのL7ログを収集・相関。JMX/スレッドダンプによるオンデバイス健全性点検を手順化。
📈 MITRE ATT&CK
・Initial Access: Exploit Public-Facing Application(T1190)— いずれの脆弱性も事前認証で公開サービスを直接悪用。
・Persistence: Server Software Component: Web Shell(T1505.003)— ISE上にWebシェル相当のサーバサイドコンポーネントを常駐。
・Defense Evasion: Obfuscated/Compressed Files and Information(T1027)— DES+非標準Base64でペイロード/コマンドを難読化。
・Defense Evasion/Privilege Escalation: Process Injection(T1055)— JVM内の既存スレッドへリフレクションで自己注入し、メモリ常駐。
・Command and Control: Web Protocols(T1071.001)— Tomcat経由のHTTPリクエストをリスニングしてC2相当の指令授受。
🏢 組織規模別助言
〜50名(小規模): 直ちに外向き管理画面を閉塞し、MSPやベンダにパッチ適用を委託。WAFの仮想パッチを活用し、日次でアクセスログを確認。バックアップと復旧手順を演習。
50〜500名(中規模): 変更凍結ウィンドウを設けて段階的にアップグレード。NDRでI/O相関を行い、プロキシ/ADC/ISEのログ一元保管(少なくとも30日)。不審セッション検出ルール(非標準Base64、長大パラメータ、未認証アクセス連打)をSOCで運用。
500名以上(大規模): 管理プレーン完全分離(Privileged Access Workstation、mTLS、JITアクセス)。攻撃シナリオを前提にレッドチーム演習と検知エンジニアリングを実施。SBOM/影響資産の即時特定、脆弱性管理SLA(48時間以内の高深刻度是正)を適用。
🔎 類似事例
・CVE-2023-4966(CitrixBleed):セッション抽出により広範に悪用。
・CVE-2023-3519(Citrix ADC 未認証RCE):エッジ機器への継続的攻撃の先例。
・CVE-2023-20198(Cisco IOS XE Web UI):管理平面の不正作成アカウントによる侵害。
・CVE-2024-3400(Palo Alto PAN-OS):境界アプライアンスを狙うゼロデイ連続悪用の例。
🧭 次の一手
まずはCitrix/Ciscoの当該アドバイザリとリリースノートを精読し、該当バージョンの特定とパッチ適用計画を即時策定してください。その上で、SOC向けに「非標準Base64検知」「未認証の高頻度POST」「未知リスナー登録」の3点セットで検知ルールを作成・デプロイすることを推奨します。ゼロデイ前提の防御として、管理プレーンの隔離と運用ログの長期保全を標準化してください。
