شناسایی هکر سیسکو و سیتریکس

به گزارش کارگروه امنیت خبرگزاری سایبربان، سی‌جی موزِس، مدیر ارشد امنیت اطلاعات در بخش امنیت یکپارچه آمازون، گفت آنها یک عامل تهدید «پیشرفته» را شناسایی کرده‌اند که از آسیب‌پذیری‌های روز صفر افشا‌نشده در سیستم‌های Cisco Identity Service Engine (ISE) و محصولات سیتریکس سوءاستفاده می‌کرده است.

به گفته سخنگوی آمازون، این کارزار که هنوز به هیچ کشور یا گروه مجرمان سایبری خاصی نسبت داده نشده، در ماه می کشف شد.

او از ارائه جزئیات بیشتر درباره ماهیت اهداف یا مقاصد این حملات خودداری کرد.

نکته قابل توجه این است که هکرها از بدافزار سفارشی استفاده می‌کردند و پیش از افشای عمومی در ماه ژوئیه، از آسیب‌پذیری CVE-2025-5777 که اکنون با نام غیررسمی سیتریکس بلید تو (Citrix Bleed Two) شناخته می‌شود، بهره‌برداری کرده بودند.

موزس توضیح داد:

در جریان تحقیقات بیشتر درباره همان تهدیدی که از آسیب‌پذیری سیتریکس سوءاستفاده می‌کرد، تیم اطلاعات تهدید آمازون یک محموله مشکوک شناسایی کرد و آن را با شرکت سیسکو به اشتراک گذاشت. این محموله یک نقطه پایانی (endpoint) مستند‌نشده در سیستم ISE سیسکو را هدف قرار داده بود.

این سیستم یک پلتفرم کنترل دسترسی به شبکه و اجرای سیاست‌های امنیتی است که به شرکت‌ها اجازه می‌دهد بر اساس هویت کاربران، دسترسی به بخش‌های مختلف سیستم را مدیریت کنند.

آسیب‌پذیری سیسکو که در ژوئن با شناسه CVE-2025-20337 ثبت شد، به هکرها امکان دسترسی در سطح مدیر (administrator-level) به سیستم‌های آلوده را می‌داد.

موزس افزود:

آنچه این کشف را به‌ویژه نگران‌کننده می‌کرد، این بود که سوءاستفاده از این آسیب‌پذیری پیش از آن‌که سیسکو شماره CVE را اختصاص دهد یا وصله‌های کامل برای همه نسخه‌های آسیب‌پذیر ISE سیسکو منتشر کند، در حال وقوع بود. این نوع سوءاستفاده از شکاف‌های وصله‌ای (patch-gap exploitation) ویژگی بارز عاملان تهدید پیشرفته‌ای است که به‌دقت به‌روزرسانی‌های امنیتی را زیر نظر دارند و سریعاً آسیب‌پذیری‌ها را به ابزار تهاجمی تبدیل می‌کنند.

او خاطرنشان کرد که یافته‌های آنها نشان‌دهنده روندی است که در آن مهاجمان سایبری تمرکز خود را بر زیرساخت‌های حیاتی هویت و کنترل دسترسی شبکه گذاشته‌اند؛ یعنی همان سیستم‌هایی که شرکت‌ها برای اجرای سیاست‌های امنیتی و مدیریت احراز هویت در شبکه‌های خود به آنها متکی هستند.

در مورد حملات مرتبط با سیسکو، موزس اظهار داشت که هکرها از درهای پشتی (backdoor)‌ سفارشی استفاده کرده‌اند که به‌طور خاص برای محیط‌های ISE سیسکو طراحی شده‌اند.

این درهای پشتی دارای قابلیت‌های پیشرفته برای فرار از شناسایی بوده و آثار جنایی دیجیتال بسیار اندکی بر جای گذاشته‌اند.

عاملان تهدید از هر دو آسیب‌پذیری CVE-2025-20337 و CVE-2025-5777 به عنوان روز صفر استفاده می‌کردند، اما آمازون هنگام کشف کارزار متوجه شد که آنها به‌صورت هم‌زمان و بدون تبعیض از هر دو بهره‌برداری می‌کردند.

موزس بیان کرد:

دسترسی به چندین آسیب‌پذیری روز صفر منتشرنشده نشان‌دهنده وجود یک عامل تهدید بسیار مجهز با توانایی‌های پیشرفته در زمینه تحقیق آسیب‌پذیری یا دسترسی به اطلاعات غیرعمومی در مورد آسیب‌پذیری‌هاست.

آسیب‌پذیری سیتریکس بلید تو در تابستان موجی از نگرانی ایجاد کرد تا جایی که نهادهای فدرال موظف شدند ظرف یک روز آن را وصله کنند.

این نقص امنیتی مشتریان سیتریکس را که خودشان دستگاه‌های نت اسکیلر ای دی سی (NetScaler ADC) و نت اسکیلر گیت وی (NetScaler Gateway) را مدیریت می‌کنند، تحت تأثیر قرار می‌دهد.

کارشناسان اشاره کرده‌اند که یکی از آدرس‌های آی پی (IP) مرتبط با سوءاستفاده از این نقص، سال گذشته توسط سازمان امنیت سایبری و زیرساخت‌های آمریکا (CISA) با گروه باج‌افزاری رنسوم هاب (RansomHub) مرتبط دانسته شد.

گفته می‌شود این آسیب‌پذیری برای هدف قرار دادن دفتر دادستان کل ایالت پنسیلوانیا و همچنین سرویس دادستانی عمومی هلند (معادل وزارت دادگستری ایالات متحده) مورد استفاده قرار گرفته است.