Un apaño en Java — dos zero-days: hackers consiguen control administrativo completo de Cisco

El equipo de ciberinteligencia de Amazon informó del descubrimiento de una campaña avanzada en la que un grupo desconocido explotó simultáneamente dos vulnerabilidades de día cero —en Cisco Identity Services Engine (ISE) y en sistemas de Citrix. Los ataques detectados mostraron un alto nivel de sofisticación: los atacantes emplearon malware propio y contaban con acceso a varias vulnerabilidades hasta entonces desconocidas, lo que indica que el grupo dispone de recursos significativos y capacidad de investigación. Este caso confirma la tendencia de que los atacantes dirigen su atención hacia la infraestructura de red crítica que gestiona la autenticación y las políticas de acceso en redes corporativas.

Los primeros indicios de actividad fueron detectados por Amazon mediante el sistema de honeypots MadPot, cuando se observaron intentos de explotación de la vulnerabilidad de Citrix Bleed Two (CVE-2025-5777) antes de su divulgación pública. Esto indicaba que los atacantes estaban aprovechando la vulnerabilidad como día cero. El análisis posterior mostró que el mismo grupo atacó simultáneamente servicios de Cisco, utilizando una falla en el mecanismo de deserialización de Cisco ISE que era desconocida hasta entonces.

La falla, posteriormente registrada como CVE-2025-20337, permitía la ejecución de código arbitrario sin autenticación y daba control administrativo completo sobre el sistema. Según Amazon, la explotación se produjo mucho antes de que se asignara el identificador y se publicaran las actualizaciones, algo característico de grupos bien preparados que siguen el proceso de corrección de fallos y aprovechan de inmediato el intervalo entre el hallazgo del problema y la publicación del conjunto completo de parches.

Tras obtener acceso, los atacantes instalaron un webshell no estándar disfrazado como un componente de Cisco ISE llamado IdentityAuditAction. Este malware fue creado específicamente para la infraestructura de Cisco y se caracterizó por su ocultamiento cuidadoso. Funcionaba completamente en memoria, sin dejar rastros en disco; se inyectaba en los hilos activos de Java mediante reflexión; se registraba como un oyente del tráfico HTTP en el servidor Tomcat y utilizaba el cifrado DES con una codificación Base64 no estándar. El acceso a la interfaz requería conocer cabeceras HTTP especiales, lo que permitía restringir el grupo de quienes podían controlar la puerta trasera.

El código de deserialización incluía una cadena de operaciones con cifrado doble y sustitución de caracteres, lo que complicaba aún más el análisis. El descifrado del cuerpo de la petición se realizaba mediante cifrado DES con una clave fija y una codificación modificada, tras lo cual el malware creaba dinámicamente una clase y la inyectaba en los hilos de trabajo de Tomcat. Ese enfoque permitía interceptar peticiones y ejecutar comandos sin guardar archivos en disco, lo que prácticamente impedía su detección con herramientas de monitoreo estándar.

Según las observaciones de Amazon, los atacantes apuntaron a sistemas expuestos públicamente y no limitaron sus objetivos por sector. Sus herramientas mostraban un profundo conocimiento de la arquitectura de aplicaciones Java empresariales y de la lógica interna de Cisco ISE, incluidos métodos para evadir mecanismos de seguridad incorporados. La capacidad de explotar varias vulnerabilidades de día cero y combinarlas rápidamente indica que el grupo cuenta con recursos propios para investigar fallos o tiene acceso a información no pública sobre ellos.

Amazon recomienda a administradores y profesionales de seguridad que consideren este tipo de ataques como una señal para reforzar la protección de los sistemas de gestión de identidades y de las pasarelas de acceso remoto. Incluso soluciones bien configuradas pueden ser vulnerables si el ataque ocurre antes de la aplicación de parches. Se recomienda limitar el acceso de red a las interfaces administrativas, aplicar segmentación y filtrado multinivel, así como desplegar herramientas de análisis de comportamiento anómalo capaces de detectar accesos atípicos a componentes de servicio.