“CitrixBleed 2” i krytyczne błędy w Cisco ISE: fala ataków na infrastrukturę tożsamości

Wprowadzenie do problemu / definicja luki

W najnowszej kampanii ofensywnej zaobserwowano równoległe wykorzystanie dwóch błędów 0-day w kluczowych komponentach tożsamości i dostępu:

• Citrix NetScaler ADC/Gateway – CVE-2025-5777, nieformalnie nazwany „CitrixBleed 2”: błąd ujawnienia informacji (out-of-bounds read) umożliwiający odczyt fragmentów pamięci i przejęcie sesji (w tym admina) bez uwierzytelniania, gdy urządzenie działa jako Gateway/AAA.
• Cisco Identity Services Engine – CVE-2025-20337: pre-auth RCE jako root przez podatne API; dotyczy ISE/ISE-PIC i uzyskało ocenę CVSS 10.0.

Według najnowszych doniesień, ten sam aktor wykorzystywał oba błędy przed publikacją łat, co wprost uderza w infrastrukturę IAM/NAC i ułatwia trwałą kontrolę nad środowiskiem ofiary.

W skrócie

• „CitrixBleed 2” (CVE-2025-5777) → wyciek pamięci i kradzież tokenów/sesji w NetScalerach działających jako Gateway/AAA.
• Cisco ISE (CVE-2025-20337) → zdalne wykonanie kodu bez uwierzytelnienia jako root przez podatne API.
• APT wykorzystywał oba jako 0-day (pre-patch), wdrażając niestandardowe web-shelle/malware i utrzymując niewykrywalną obecność.
• Priorytet: natychmiastowe łatki + unieważnienie sesji, rotacja poświadczeń/kluczy, przegląd zaufania do całej płaszczyzny tożsamości.

Kontekst / historia / powiązania

Nazwa „CitrixBleed 2” nawiązuje do CitrixBleed (CVE-2023-4966) z 2023 r., który był masowo nadużywany m.in. przez grupy ransomware. Obecna luka ma podobny skutek (wyciek pamięci → przejęcie sesji), ale dotyczy nowszych wersji NetScaler i znów eksponuje perymetr zdalnego dostępu.

Po stronie Cisco ISE producent 25 czerwca 2025 r. opublikował poradnik o krytycznych RCE w ISE/ISE-PIC i w lipcu dodał CVE-2025-20337, potwierdzając maksymalną wagę problemu. Niezależne ośrodki (CERT-EU, NVD, NHS) spójnie wskazują na pre-auth RCE przez API.

Analiza techniczna / szczegóły luki

CVE-2025-5777 – NetScaler („CitrixBleed 2”)

• Typ: out-of-bounds read → ujawnienie pamięci (m.in. tokeny sesyjne, ciasteczka) po wysłaniu spreparowanych parametrów logowania do komponentu uwierzytelniania.
• Warunki: NetScaler skonfigurowany jako Gateway (VPN/ICA Proxy/ CVPN/RDP Proxy) lub AAA vServer.
• Skutki: „dołączenie” do dowolnej sesji, przejęcie pulpitów VDI, hijacking aktywnych sesji admina – konsekwencje obserwowane w praktyce.

CVE-2025-20337 – Cisco Identity Services Engine

• Typ: brak walidacji danych wejściowych w określonym API ISE/ISE-PIC → RCE jako root bez uwierzytelniania po wysłaniu spreparowanego żądania.
• Zakres: dotyczy gałęzi 3.3 i 3.4 (naprawy w patchach wydanych przez Cisco – patrz niżej). Niezależne biuletyny potwierdzają ścieżki naprawy (3.3 Patch 7, 3.4 Patch 2).
• Obserwacje z incydentów: niestandardowy web-shell podszywający się pod komponent ISE, działający w pamięci, z naciskiem na trwałość i stealth.

„Patch-gap” i atak przed publikacją łatek

Amazon opisał wykorzystanie obu podatności jako 0-day jeszcze przed wydaniem łat – klasyczny przykład „patch-gap exploitation” (okno między wykryciem a pełnym rolloutem poprawek). Wnioski: zarządzanie ekspozycją i telemetria/anomalia wygrywają z samą prędkością patchowania.

Praktyczne konsekwencje / ryzyko

1. Przejęcie dostępu zdalnego i tożsamości
   Kradzież ciasteczek/tokenów NetScaler → przejęcie sesji użytkowników/adminów; RCE na ISE → pivot do AD, MDM, VPN, segmentacji NAC.
2. Trwała obecność i niewidoczność
   Web-shelle „osadzone” w ISE, wykonywane w pamięci i maskujące się jako komponenty systemowe. Ryzyko cichego podnoszenia uprawnień oraz lateral movement.
3. Szeroki blast radius
   Atak na warstwę IAM/NAC wpływa na całe środowisko: federacje SSO, dostęp VPN, profile polityk dostępu, integracje z chmurą.

Rekomendacje operacyjne / co zrobić teraz

0) „Assume breach” dla NetScaler i ISE

Skoro obserwowano pre-patch exploitation, traktuj oba urządzenia jak potencjalnie naruszone. Priorytet: skracać ekspozycję i podnosić wierność logowania.

1) Patch & hardening (dziś)

• NetScaler (CVE-2025-5777): zaktualizuj do buildów z poprawką i zastosuj konfiguracyjne kroki remediacji (NetScaler Console ma wbudowany 2-etapowy workflow: upgrade + szablon komend). Po aktualizacji wymuś wygaszenie sesji i przeprowadź skan instancji.
• Cisco ISE (CVE-2025-20337): zastosuj patche wskazane przez Cisco dla linii 3.3/3.4 (zgodnie z komunikatami CERT/NHS: m.in. 3.3 Patch 7, 3.4 Patch 2). Zweryfikuj brak ekspozycji podatnych API do Internetu.

2) Response po aktualizacji

• Unieważnij wszystkie aktywne sesje na NetScalerach (gateway/AAA), zrotuj klucze/sekrety (SAML/OIDC, certyfikaty), zresetuj hasła kont uprzywilejowanych, przeforcesuj re-logon. (Dostarczane przez NetScaler Console mechanizmy ułatwiają masowe działania).
• Przegląd konfiguracji ISE: odłącz nieużywane integracje, wprowadź allow-list dla API/management plane (administracja wyłącznie z sieci zarządzania/VPN z MFA).

3) Detections – szybkie reguły dla SOC

Poniższe przykłady są defensywne (bez exploitów):

Splunk (NetScaler – anomalia sesji/admin hijack)

index=netscaler sourcetype=citrix:netscaler:* | eval ua=coalesce(http_user_agent, user_agent) | stats count dc(src_ip) values(ua) as uas by cs_user, http_cookie | where count>1 AND dc(src_ip)>1

Wyszukuje dzielone ciasteczka/sesje z różnych IP (hijack).

Splunk (Cisco ISE – podejrzane wywołania API)

index=cisco_ise sourcetype=cisco:ise:rest | stats count values(http_method) as m values(uri_path) as up by src_ip, user | where user="-" OR user="anonymous" OR like(m,"%POST%")

Wykrywa anonimowe POST-y do API.

Sigma (ogólne, do SIEM z HTTP logami)

title: Suspicious Anonymous API Calls to NAC/IAM logsource: { category: webserver } detection: selection: http.status: [200,201,204,500] http.verb: POST http.user: "-" http.path|contains: - "/ers/config" # ISE ERS API - "/oauth" # token endpoints - "/nitro/v1/config" # NetScaler NITRO API condition: selection level: high

4) Telemetria i ograniczenie ekspozycji

• Zamknij management plane (ACL, bastion, jump host, VPN z MFA).
• Włącz HTTP request logging na brzegach (WAF/reverse proxy) i integrację z SIEM.
• Monitoruj tokeny (źródła logowania, nagłe zmiany IP/ASN, skoki geolokalizacji).

5) Łączność z chmurą i federacje

Jeśli NetScaler/ISE federuje się z IdP/SSO, rozważ rotację kluczy podpisywania (SAML/OIDC), unieważnienie refresh tokenów i ponowne wymuszenie MFA.

Różnice / porównania z innymi przypadkami

• CitrixBleed (2023) vs. „CitrixBleed 2” (2025): w obu przypadkach wyciek pamięci umożliwia przejęcie sesji, ale nowe CVE dotyka nowszych buildów i ponownie wykazuje, iż urządzenia brzegowe IAM/VPN są „łakomym kąskiem”.
• Cisco ISE RCE wyróżnia się na tle wielu błędów NAC tym, iż daje root RCE pre-auth przez API – przez co łańcuch ataku jest krótszy (bez kradzieży kont).

Podsumowanie / najważniejsze wnioski

1. Tożsamość to nowy perymetr – atak na NetScaler i ISE to skrót do całej organizacji.
2. Okno „patch-gap” jest realne – planuj kompensacyjne kontrole (segmentacja, izolacja zarządzania, wysokiej jakości logowanie) zanim pojawi się łatka.
3. Po każdej aktualizacji wykonuj czynności post-incident: unieważnienie sesji, rotacje i przegląd anomalii – samo „patch done” nie wystarczy.

Źródła / bibliografia

• Dark Reading – opis kampanii i korelacja między Citrix i Cisco ISE. (Dark Reading)
• AWS Security Blog (CJ Moses) – szczegóły o pre-patch exploitation i taktykach aktora. (Amazon Web Services, Inc.)
• NetScaler Docs – procedura dwuetapowej remediacji CVE-2025-5777 (upgrade + konfiguracja). (docs.netscaler.com)
• NVD – szczegóły CVE-2025-20337 (RCE pre-auth w API ISE/ISE-PIC). (NVD)
• CERT-EU / NHS – kontekst wersji ISE i rekomendacje patchy (3.3/3.4). (cert.europa.eu)