Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat CVE-2025-55182

CVE-2025-55182

El Mezo el Vulnerabilitat
Traduir a:

S'ha identificat una campanya de recol·lecció de credencials a gran escala que aprofita la vulnerabilitat React2Shell com a principal vector d'infecció. Aquesta operació té com a objectiu les aplicacions vulnerables de Next.js, concretament explotant la CVE-2025-55182, una falla crítica amb una puntuació CVSS de 10.0 que afecta els components de React Server i l'encaminador d'aplicacions Next.js. L'explotació amb èxit permet l'execució remota de codi, cosa que permet als atacants obtenir un punt de suport inicial dins dels sistemes objectiu.

Investigadors de seguretat han atribuït aquesta activitat a un clúster d'amenaces rastrejat com a UAT-10608. La campanya ja ha compromès almenys 766 hosts en múltiples regions geogràfiques i entorns de núvol, cosa que demostra tant l'escala com l'abast operatiu.

Intrusió automatitzada a escala: segmentació àmplia i indiscriminada

El patró d'atac reflecteix tècniques de reconeixement i explotació altament automatitzades. Es creu que els actors amenaçadors confien en eines d'escaneig a gran escala com ara Shodan, Censys o escàners personalitzats per identificar implementacions de Next.js exposades públicament i susceptibles a la vulnerabilitat.

Aquesta estratègia de focalització indiscriminada permet la identificació ràpida de sistemes vulnerables, augmentant significativament la taxa d'èxit i l'escala del compromís.

Implementació de càrrega útil en diverses etapes: des de l'accés fins a la recol·lecció de dades

Després del compromís inicial, es desplega un dropper per instal·lar un marc de treball de recopilació multifase conegut com a NEXUS Listener. Aquest marc de treball orquestra scripts automatitzats dissenyats per extreure dades sensibles dels sistemes infectats i exfiltrar-les a una infraestructura centralitzada de comandament i control (C2).

El procés de recol·lecció és extens i recull sistemàticament:

  • Variables d'entorn i configuracions d'execució analitzades per JSON
  • Claus privades SSH i fitxers authorized_keys
  • Historial d'ordres de shell i detalls del procés en execució
  • Configuracions de contenidors Docker i tokens de comptes de servei de Kubernetes
  • Claus d'API, credencials de base de dades i secrets de servei al núvol
  • Credencials IAM temporals recuperades a través de serveis de metadades al núvol (AWS, Google Cloud, Microsoft Azure)

Receptor NEXUS: Intel·ligència i control centralitzats

Al centre de l'operació hi ha el NEXUS Listener, una aplicació web protegida per contrasenya allotjada a la infraestructura C2 dels atacants. Aquesta interfície proporciona als operadors un quadre de comandament gràfic complet per supervisar i analitzar les dades robades.

Les capacitats clau de la plataforma inclouen:

  • Visibilitat en temps real dels hosts compromesos i les credencials recollides
  • Funcionalitat de cerca per a un filtratge i anàlisi de dades eficients
  • Estadístiques agregades que detallen els tipus i volums de credencials
  • Mètriques del sistema com ara el temps de funcionament de l'aplicació i l'estat operatiu

La versió observada actualment, NEXUS Listener V3, indica un desenvolupament i refinament continus, cosa que suggereix un conjunt d'eines madur i en evolució.

Exposició de secrets d'alt valor: una memòria cau de dades perillosa

En alguns casos, els panells NEXUS Listener mal configurats o no autenticats han exposat una àmplia gamma de credencials sensibles. Aquestes inclouen claus API vinculades a serveis financers com Stripe, plataformes d'intel·ligència artificial com OpenAI, Anthropic i NVIDIA NIM, així com serveis de comunicació com SendGrid i Brevo.

Altres actius exposats inclouen tokens de bots de Telegram, secrets de webhooks, tokens de GitHub i GitLab, i cadenes de connexió de bases de dades. Aquesta amplitud de dades compromeses amplifica significativament el potencial d'atacs posteriors.

Impacte estratègic: Cartografia d'ecosistemes d'infraestructures completes

Més enllà de les credencials individuals, les dades agregades proporcionen un pla detallat dels entorns de les víctimes. Els atacants obtenen visibilitat sobre els serveis implementats, els patrons de configuració, els proveïdors de núvol en ús i les integracions de tercers.

Aquesta intel·ligència permet operacions de seguiment altament específiques, com ara moviment lateral, escalada de privilegis, campanyes d'enginyeria social o la revenda d'accés a altres actors d'amenaces.

Imperatius defensius: mitigar el risc i limitar l'exposició

L'escala i la profunditat d'aquesta campanya subratllen la necessitat de mesures de seguretat proactives. Les organitzacions han de prioritzar auditories d'entorn rigoroses i pràctiques de gestió de credencials per reduir l'exposició.

Les accions recomanades inclouen:

  • Aplicar el principi de mínim privilegi en tots els sistemes i serveis
  • Habilitació de l'escaneig secret automatitzat per detectar credencials exposades
  • Evitar la reutilització de parells de claus SSH entre entorns
  • Aplicació d'IMDSv2 a totes les instàncies d'AWS EC2 per protegir l'accés a les metadades
  • Rotació immediata de totes les credencials si se sospita que hi ha un compromís.

    • Un enfocament disciplinat del control d'accés i la supervisió contínua és essencial per defensar-se contra operacions de recol·lecció de credencials cada cop més automatitzades i a gran escala.

    Tendència

    Estafa per correu electrònic: s'ha assolit el límit...

    Phishing, Correu brossa
    Els correus electrònics inesperats sovint poden semblar convincents, però la vigilància és essencial. Els ciberdelinqüents es basen en la urgència i la por per manipular els destinataris perquè actuïn sense una verificació adequada. Una d'aquestes amenaces generalitzades és l'estafa de correu electrònic "S'ha assolit el límit d'emmagatzematge", una campanya enganyosa dissenyada per induir els...

    Més vist

    Carregant...