Het onderzoeksteam van Amazon ontdekte twee beveiligingsproblemen die actief als zero-day zijn uitgebuit.
Een geavanceerde hackersgroep heeft twee ernstige kwetsbaarheden uitgebuit nog vóór er beveiligingsupdates beschikbaar waren. Het gaat om Citrix Bleed 2 (CVE-2025-5777) en Cisco ISE (CVE-2025-20337). Volgens Amazon Threat Intelligence werden de lekken al gebruikt toen Citrix en Cisco nog bezig waren met hun onderzoek.
Ontdekt via Amazon ‘honeypots’
Amazon ontdekte het misbruik via zijn MadPot-honeypotnetwerk, dat bedoeld is om aanvallers aan te trekken om zo hun werkwijze te leren kennen. De aanvallers gebruikten de Citrix-fout om toegang te krijgen tot systemen en misbruikten een tweede lek bij Cisco om een verborgen webtool te installeren waarmee ze verkeer konden onderscheppen en gegevens konden stelen.
“Onze honeypots zagen de exploits nog vóór de aankondiging voor het publiek,” aldus Amazon aan BleepingComputer. “Dat bewijst dat de aanvallers de kwetsbaarheid al als zero-day gebruikten.” Ze maakten gebruik van aangepaste malware die zich voordeed als een officieel onderdeel van Cisco ISE en daarom bijna geen sporen naliet.
Wat bedrijven nu moeten doen
Zowel Citrix als Cisco hebben intussen beveiligingsupdates uitgebracht. Bedrijven krijgen de dringende aanbeveling om deze zo snel mogelijk te installeren, en om de toegang tot netwerkapparatuur beter af te schermen via firewalls en strengere toegangsregels.