Slevová nabídka pro více licencí
Databáze hrozeb Zranitelnost CVE-2025-55182

CVE-2025-55182

V roce Mezo v roce Zranitelnost
Přeložit do:

Byla identifikována rozsáhlá kampaň zaměřená na sběr přihlašovacích údajů, která využívá zranitelnost React2Shell jako primární vektor infekce. Tato operace se zaměřuje na zranitelné aplikace Next.js, konkrétně zneužívá CVE-2025-55182, což je kritická chyba s hodnocením CVSS 10,0, která postihuje komponenty serveru React a router aplikací Next.js. Úspěšné zneužití umožňuje vzdálené spuštění kódu, což útočníkům umožňuje získat počáteční oporu v cílových systémech.

Bezpečnostní výzkumníci připsali tuto aktivitu klastru hrozeb sledovanému jako UAT-10608. Kampaň již napadla nejméně 766 hostitelů v různých geografických oblastech a cloudových prostředích, což prokazuje jak rozsah, tak i operační dosah.

Automatizované narušení ve velkém měřítku: Široké a nediferencované cílení

Vzorec útoku odráží vysoce automatizované techniky průzkumu a zneužití. Předpokládá se, že útočníci se spoléhají na rozsáhlé skenovací nástroje, jako jsou Shodan, Censys nebo zakázkové skenery, aby identifikovali veřejně vystavená nasazení Next.js náchylná k této zranitelnosti.

Tato nerozlišující strategie cílení umožňuje rychlou identifikaci zranitelných systémů, což výrazně zvyšuje míru úspěšnosti a rozsah kompromitace.

Vícestupňové nasazení datových úložišť: od přístupu k sběru dat

Po počáteční kompromitaci je nasazen dropper, který instaluje vícefázový framework pro sběr dat známý jako NEXUS Listener. Tento framework orchestruje automatizované skripty určené k extrakci citlivých dat z infikovaných systémů a jejich přenosu do centralizované infrastruktury velení a řízení (C2).

Proces sklizně je rozsáhlý a systematicky se shromažďují:

  • Proměnné prostředí a konfigurace běhového prostředí analyzované pomocí JSON
  • Soukromé klíče SSH a soubory authorized_keys
  • Historie příkazů shellu a podrobnosti o spuštěných procesech
  • Tokeny servisních účtů Kubernetes a konfigurace kontejnerů Docker
  • Klíče API, přihlašovací údaje k databázi a tajné klíče cloudové služby
  • Dočasné přihlašovací údaje IAM načtené prostřednictvím cloudových služeb metadat (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Centralizovaná inteligence a řízení

Jádrem operace je NEXUS Listener, webová aplikace chráněná heslem hostovaná na infrastruktuře C2 útočníků. Toto rozhraní poskytuje operátorům komplexní grafický panel pro sledování a analýzu odcizených dat.

Mezi klíčové funkce platformy patří:

  • Přehled o napadených hostitelích a získaných přihlašovacích údajích v reálném čase
  • Vyhledávací funkce pro efektivní filtrování a analýzu dat
  • Agregované statistiky s podrobnými typy a objemy přihlašovacích údajů
  • Systémové metriky, jako je dostupnost aplikací a provozní stav

Aktuálně sledovaná verze, NEXUS Listener V3, naznačuje probíhající vývoj a zdokonalování, což naznačuje vyspělou a vyvíjející se sadu nástrojů.

Odhalení cenných tajemství: Nebezpečná datová mezipaměť

V některých případech špatně nakonfigurované nebo neověřené panely NEXUS Listener odhalily širokou škálu citlivých přihlašovacích údajů. Patří mezi ně klíče API spojené s finančními službami, jako je Stripe, platformami umělé inteligence, jako jsou OpenAI, Anthropic a NVIDIA NIM, a také komunikačními službami, včetně SendGrid a Brevo.

Mezi další exponovaná aktiva patří tokeny botů Telegramu, tajné kódy webhooků, tokeny GitHubu a GitLabu a řetězce pro připojení k databázi. Tato šíře kompromitovaných dat výrazně zvyšuje potenciál pro útoky ze strany downstreamu.

Strategický dopad: Mapování celých ekosystémů infrastruktury

Kromě individuálních přihlašovacích údajů poskytují agregovaná data podrobný plán prostředí obětí. Útočníci získají přehled o nasazených službách, konfiguračních vzorcích, používaných cloudových poskytovatelích a integracích třetích stran.

Takové informace umožňují vysoce cílené následné operace, včetně laterálního přesunu, eskalace privilegií, kampaní sociálního inženýrství nebo dalšího prodeje přístupu jiným aktérům hrozby.

Obranné imperativy: Zmírnění rizika a omezení expozice

Rozsah a hloubka této kampaně podtrhují nutnost proaktivních bezpečnostních opatření. Organizace musí upřednostňovat přísné audity prostředí a postupy správy pověření, aby snížily vystavení riziku.

Mezi doporučené akce patří:

  • Vynucování principu nejnižších privilegií ve všech systémech a službách
  • Povolení automatického tajného skenování pro detekci odhalených přihlašovacích údajů
  • Zamezení opětovnému použití párů klíčů SSH napříč prostředími
  • Vynucení IMDSv2 na všech instancích AWS EC2 pro ochranu přístupu k metadatům
  • Okamžitá rotace všech přihlašovacích údajů v případě podezření na kompromitaci

    • Disciplinovaný přístup ke kontrole přístupu a průběžnému monitorování je nezbytný pro ochranu před stále automatizovanějšími a rozsáhlými operacemi sběru přihlašovacích údajů.

    Trendy

    Dosažení limitu úložiště – podvod s e-maily

    Phishing, Spam
    Neočekávané e-maily se mohou často zdát přesvědčivé, ale ostražitost je nezbytná. Kyberzločinci se spoléhají na naléhavost a strach, aby manipulovali příjemce a přiměli je k akci bez řádného ověření. Jednou z takových rozšířených hrozeb je e-mailový podvod s názvem „Dosažen limit úložiště“, což je klamavá kampaň, jejímž cílem je uživatele oklamat a přimět k interakci se škodlivým nebo ziskovým...

    Nejvíce shlédnuto

    Načítání...