Threats
A Amazon detetou uma operação sofisticada que explorava vulnerabilidades críticas em produtos da Cisco e da Citrix meses antes de estas serem tornadas públicas. A campanha, ainda sem autoria atribuída, confirma a crescente pressão sobre sistemas de controlo de identidade e acesso em empresas
13/11/2025
|
A Amazon revelou ter identificado, em maio, uma campanha altamente sofisticada que explorava vulnerabilidades zero-day nos sistemas Cisco Identity Services Engine (ISE) e em produtos Citrix. A descoberta, feita pela equipa de segurança integrada da empresa, mostra que os cibercriminosos conseguiram explorar as falhas antes de qualquer correção ou atribuição de CVE. De acordo com CJ Moses, CISO da Amazon Integrated Security, os atacantes usaram malware personalizado e exploraram a falha CVE-2025-5777, conhecida como Citrix Bleed Two, antes da sua divulgação pública, em julho. A investigação permitiu ainda detetar um payload anómalo que visava um endpoint não documentado no Cisco ISE, que viria a ser registado como CVE-2025-20337. O Cisco ISE, uma plataforma que define políticas de controlo de acesso à rede e autenticação, permitindo às empresas limitar o acesso com base na identidade do utilizador, apresentava uma vulnerabilidade que podia ser explorada para obter privilégios de administrador, abrindo a porta a um controlo quase total dos sistemas comprometidos. Segundo o CISO da Amazon Integrated Security, o mais preocupante foi o facto de a exploração ocorrer na natureza antes de a Cisco disponibilizar patches abrangentes. Este tipo de “exploração entre versões”, disse, é típico de grupos de cibercriminosos sofisticados, que monitorizam as atualizações de segurança e atuam rapidamente para transformar falhas em armas. Nos ataques ligados à Cisco, os agentes de ameaça recorreram a backdoors desenvolvidos especificamente para ambientes ISE, com capacidades avançadas de evasão e rastos forenses mínimos. A Amazon confirmou que ambos os exploits estavam a ser utilizados como zero-days, sem distinção entre plataformas. Para CJ Moses, o acesso a múltiplas vulnerabilidades inéditas demonstra que se trata de um ator com meios significativos, conhecimento profundo de investigação em vulnerabilidades ou até acesso a informação não pública. Quanto à Citrix Bleed Two, a vulnerabilidade causou preocupação no verão, quando as autoridades federais dos EUA ordenaram a aplicação urgente de patches nos appliances NetScaler. Posteriormente, a CISA associou um dos IP envolvidos na exploração ao grupo de ransomware RansomHub, implicado em ataques ao gabinete do Procurador‑Geral da Pensilvânia e ao Ministério Público dos Países Baixos. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
