神秘高级黑客发动双零日闪电战，思科与Citrix防线被撕开

主要观点总结

亚马逊安全团队披露了一起高级威胁行为者利用思科和Citrix的零日漏洞进行网络攻击的事件。该事件涉及两个此前未公开的零日漏洞CVE-2025-20337和CVE-2025-5777的协同利用，攻击者通过部署定制化的恶意载荷和后门进行隐蔽而精准的入侵。该事件揭示了未知攻击者对核心身份与访问控制系统的持续聚焦，并再次提醒全球关键IT基础设施防护的重要性。防御建议包括限制管理端点暴露面、强化行为检测能力、实施最小权限原则和加强供应链监控。

关键观点总结

关键观点1: 高级威胁行为者利用思科和Citrix的零日漏洞进行网络攻击。

行为者同时利用CVE-2025-20337和CVE-2025-5777两个零日漏洞，实施隐蔽而精准的入侵行动。

关键观点2: 攻击手段高度专业化，使用了定制化的恶意载荷和后门。

攻击者部署了一个名为“IdentityAuditAction”的定制Web Shell后门，具备极强的规避能力，几乎完全内存驻留，利用Java反射机制，监听所有HTTP请求，并采用非标准加密通信。

关键观点3: 攻击目标直指企业安全命脉。

攻击者选择的目标是企业身份认证与网络访问控制的核心基础设施，如思科ISE和Citrix NetScaler，一旦这些系统被攻陷，攻击者可绕过MFA，窃取高权限凭证，长期潜伏。

关键观点4: 防御建议。

面对此类高级威胁，亚马逊团队提出了多项防御建议，包括限制管理端点暴露面、强化行为检测能力、实施最小权限原则和加强供应链监控。此外，建立自动化漏洞管理流程、定期进行红蓝对抗演练也是生存必需。