Оферта за отстъпка за множество лицензи
База данни за заплахи Уязвимост CVE-2025-55182

CVE-2025-55182

До Mezo през Уязвимостг
Превод на:

Идентифицирана е мащабна кампания за събиране на идентификационни данни, използваща уязвимостта React2Shell като основен вектор на заразяване. Тази операция е насочена към уязвими приложения Next.js, като по-специално експлоатира CVE-2025-55182, критична уязвимост с CVSS оценка 10.0, засягаща компонентите на React Server и Next.js App Router. Успешната експлоатация позволява дистанционно изпълнение на код, което позволява на атакуващите да получат първоначална опора в целевите системи.

Изследователите по сигурността отдават тази активност на клъстер от заплахи, проследен като UAT-10608. Кампанията вече е компрометирала най-малко 766 хоста в множество географски региони и облачни среди, демонстрирайки както мащаб, така и оперативен обхват.

Автоматизирано проникване в голям мащаб: Широко и безразборно насочване

Моделът на атака отразява високо автоматизирани техники за разузнаване и експлоатация. Смята се, че злонамерените лица разчитат на мащабни инструменти за сканиране като Shodan, Censys или персонализирани скенери, за да идентифицират публично изложени внедрявания на Next.js, уязвими към уязвимостта.

Тази безразборна стратегия за насочване позволява бързо идентифициране на уязвими системи, което значително увеличава процента на успех и мащаба на компрометирането.

Многоетапно внедряване на полезен товар: от достъп до събиране на данни

След първоначалното компрометиране, се внедрява дропър, който инсталира многофазна рамка за събиране на данни, известна като NEXUS Listener. Тази рамка оркестрира автоматизирани скриптове, предназначени да извличат чувствителни данни от заразените системи и да ги прехвърлят към централизирана инфраструктура за командване и контрол (C2).

Процесът на събиране на реколтата е обширен и систематично събира:

  • Променливи на средата и JSON-парализирани конфигурации по време на изпълнение
  • SSH частни ключове и файлове authorized_keys
  • История на командите на Shell и подробности за изпълняваните процеси
  • Токени за сервизни акаунти на Kubernetes и конфигурации на Docker контейнери
  • API ключове, идентификационни данни за база данни и тайни за облачни услуги
  • Временни IAM идентификационни данни, извлечени чрез облачни услуги за метаданни (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Централизиран интелект и контрол

В основата на операцията е NEXUS Listener, защитено с парола уеб-базирано приложение, хоствано върху C2 инфраструктурата на нападателите. Този интерфейс предоставя на операторите цялостно графично табло за наблюдение и анализ на откраднати данни.

Ключовите възможности на платформата включват:

  • Видимост в реално време на компрометирани хостове и иззети идентификационни данни
  • Функция за търсене за ефективно филтриране и анализ на данни
  • Обобщена статистика, подробно описваща видовете и обемите на идентификационните данни
  • Системни показатели, като например време на работа на приложението и оперативно състояние

Текущо наблюдаваната версия, NEXUS Listener V3, показва непрекъснато развитие и усъвършенстване, което предполага зрял и развиващ се набор от инструменти.

Разкриване на ценни тайни: Опасен кеш с данни

В някои случаи, неправилно конфигурирани или неавтентични панели на NEXUS Listener са разкрили широк набор от чувствителни идентификационни данни. Те включват API ключове, свързани с финансови услуги като Stripe, платформи за изкуствен интелект като OpenAI, Anthropic и NVIDIA NIM, както и комуникационни услуги, включително SendGrid и Brevo.

Допълнителни открити активи включват токени на ботове на Telegram, тайни на уеб куки, токени на GitHub и GitLab и низове за свързване с база данни. Този обхват от компрометирани данни значително увеличава потенциала за атаки надолу по веригата.

Стратегическо въздействие: Картографиране на цялостни инфраструктурни екосистеми

Освен индивидуалните идентификационни данни, обобщените данни предоставят подробен план на средата на жертвата. Нападателите получават видимост върху внедрените услуги, моделите на конфигурация, използваните доставчици на облачни услуги и интеграциите с трети страни.

Подобна информация позволява целенасочени последващи операции, включително странично движение, ескалация на привилегиите, кампании за социално инженерство или препродажба на достъп на други злонамерени лица.

Защитни императиви: Намаляване на риска и ограничаване на експозицията

Мащабът и задълбочеността на тази кампания подчертават необходимостта от проактивни мерки за сигурност. Организациите трябва да дадат приоритет на строгите практики за одит на околната среда и управление на идентификационните данни, за да намалят излагането на риск.

Препоръчителните действия включват:

  • Прилагане на принципа на най-малките привилегии във всички системи и услуги
  • Активиране на автоматизирано тайно сканиране за откриване на разкрити идентификационни данни
  • Избягване на повторното използване на SSH двойки ключове в различни среди
  • Прилагане на IMDSv2 върху всички AWS EC2 инстанции за защита на достъпа до метаданни
  • Незабавна ротация на всички идентификационни данни при съмнение за компрометиране

    • Дисциплинираният подход към контрола на достъпа и непрекъснатото наблюдение е от съществено значение за защита срещу все по-автоматизирани и мащабни операции по събиране на идентификационни данни.

    Тенденция

    ValidVersion.app

    Зловреден софтуер за Mac, Рекламен софтуер, Потенциално нежелани програми
    Защитата на вашия Mac от натрапчиви и ненадеждни приложения не е просто добра практика, тя е от съществено значение за поддържането на вашата поверителност, сигурност и цялостна производителност на...

    Достигнат лимит на съхранението - имейл измама

    Фишинг, Спам
    Неочакваните имейли често могат да изглеждат убедителни, но бдителността е от съществено значение. Киберпрестъпниците разчитат на неотложност и страх, за да манипулират получателите и да предприемат действия без надлежна проверка. Една такава широко разпространена заплаха е имейл измамата „Достигнат лимит за съхранение“ – измамна кампания, предназначена да подведе потребителите да...

    Най-гледан

    Зареждане...