L’équipe de recherche d’Amazon a découvert deux problèmes de sécurité qui ont été activement exploités en tant que zero day.
Un groupe de hackers avancé a exploité deux vulnérabilités graves avant même que des mises à jour de sécurité ne soient disponibles. Il s’agit de Citrix Bleed 2 (CVE-2025-5777) et Cisco ISE (CVE-2025-20337). Selon Amazon Threat Intelligence, les failles étaient déjà utilisées alors que Citrix et Cisco étaient encore en train de mener leurs recherches.
Découvert via les « honeypots » d’Amazon
Amazon a découvert l’exploitation via son réseau de honeypots MadPot, qui est destiné à attirer les attaquants afin de connaître leurs méthodes de travail. Les attaquants ont utilisé la faille Citrix pour accéder aux systèmes et ont exploité une deuxième faille chez Cisco pour installer un outil web caché leur permettant d’intercepter le trafic et de voler des données.
« Nos honeypots ont détecté les exploits avant même l’annonce au public », a déclaré Amazon à BleepingComputer. « Cela prouve que les attaquants utilisaient déjà la vulnérabilité comme zero day. » Ils ont utilisé un malware personnalisé qui se faisait passer pour un composant officiel de Cisco ISE et ne laissait donc presque aucune trace.
Ce que les entreprises doivent faire maintenant
Citrix et Cisco ont tous deux publié des mises à jour de sécurité. Les entreprises sont vivement encouragées à les installer dès que possible et à mieux protéger l’accès aux équipements réseau via des pare-feu et des règles d’accès plus strictes.