Rabattilbud med flere licenser
Trusseldatabase Sårbarhed CVE-2025-55182

CVE-2025-55182

Med Mezo i Sårbarhed
Oversæt til:

En storstilet kampagne til indsamling af legitimationsoplysninger er blevet identificeret, der udnytter React2Shell-sårbarheden som sin primær infektionsvektor. Denne operation er rettet mod sårbare Next.js-applikationer, specifikt udnyttende CVE-2025-55182, en kritisk fejl med en CVSS-score på 10,0, der påvirker React Server Components og Next.js App Router. Vellykket udnyttelse muliggør fjernudførelse af kode, hvilket giver angribere mulighed for at få et indledende fodfæste i de målrettede systemer.

Sikkerhedsforskere har tilskrevet denne aktivitet til en trusselsgruppe sporet som UAT-10608. Kampagnen har allerede kompromitteret mindst 766 værter på tværs af flere geografiske regioner og cloudmiljøer, hvilket demonstrerer både skala og operationel rækkevidde.

Automatiseret indtrængen i stor skala: Bred og vilkårlig målretning

Angrebsmønsteret afspejler stærkt automatiserede rekognoscerings- og udnyttelsesteknikker. Trusselaktører menes at bruge storstilede scanningsværktøjer som Shodan, Censys eller specialbyggede scannere til at identificere offentligt eksponerede Next.js-implementeringer, der er sårbare over for sårbarheden.

Denne vilkårlige målretningsstrategi muliggør hurtig identifikation af sårbare systemer, hvilket øger succesraten og omfanget af kompromittering betydeligt.

Flertrins implementering af nyttelast: Fra adgang til dataindsamling

Efter den indledende kompromittering implementeres en dropper til at installere et flerfaset høstningsframework kendt som NEXUS Listener. Dette framework orkestrerer automatiserede scripts designet til at udtrække følsomme data fra inficerede systemer og overføre dem til en centraliseret kommando-og-kontrol (C2) infrastruktur.

Høstprocessen er omfattende og indsamler systematisk:

  • Miljøvariabler og JSON-parsede runtime-konfigurationer
  • SSH private nøgler og authorized_keys-filer
  • Shell-kommandohistorik og detaljer om kørende processer
  • Kubernetes-servicekontotokens og Docker-containerkonfigurationer
  • API-nøgler, databaselegitimationsoplysninger og cloud-tjenestehemmeligheder
  • Midlertidige IAM-legitimationsoplysninger hentet via cloud-metadatatjenester (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Centraliseret intelligens og kontrol

Kernen i operationen er NEXUS Listener, en adgangskodebeskyttet webbaseret applikation, der hostes på angribernes C2-infrastruktur. Denne grænseflade giver operatørerne et omfattende grafisk dashboard til at overvåge og analysere stjålne data.

Platformens vigtigste funktioner inkluderer:

  • Realtidsindsigt i kompromitterede værter og indsamlede legitimationsoplysninger
  • Søgefunktion til effektiv datafiltrering og -analyse
  • Aggregerede statistikker med detaljerede oplysninger om legitimationstyper og -volumener
  • Systemmålinger såsom applikationens oppetid og driftsstatus

Den nuværende version, NEXUS Listener V3, indikerer løbende udvikling og forfining, hvilket antyder et modent og udviklende værktøjssæt.

Afsløring af værdifulde hemmeligheder: En farlig datacache

I nogle tilfælde har forkert konfigurerede eller ikke-godkendte NEXUS Listener-paneler afsløret en bred vifte af følsomme legitimationsoplysninger. Disse omfatter API-nøgler knyttet til finansielle tjenester som Stripe, kunstig intelligens-platforme som OpenAI, Anthropic og NVIDIA NIM, samt kommunikationstjenester, herunder SendGrid og Brevo.

Yderligere eksponerede aktiver omfatter Telegram-bottokens, webhook-hemmeligheder, GitHub- og GitLab-tokens og databaseforbindelsesstrenge. Denne brede mængde kompromitterede data forstærker potentialet for downstream-angreb betydeligt.

Strategisk effekt: Kortlægning af hele infrastrukturøkosystemer

Ud over individuelle legitimationsoplysninger giver de aggregerede data en detaljeret oversigt over ofrenes miljøer. Angribere får indsigt i implementerede tjenester, konfigurationsmønstre, cloududbydere i brug og tredjepartsintegrationer.

Sådan efterretning muliggør meget målrettede opfølgende operationer, herunder lateral bevægelse, privilegieeskalering, social engineering-kampagner eller videresalg af adgang til andre trusselsaktører.

Defensive imperativer: Reduktion af risiko og begrænsning af eksponering

Omfanget og dybden af denne kampagne understreger nødvendigheden af proaktive sikkerhedsforanstaltninger. Organisationer skal prioritere strenge miljørevisioner og praksisser for styring af legitimationsoplysninger for at reducere eksponering.

Anbefalede handlinger omfatter:

  • Håndhævelse af princippet om færrest rettigheder på tværs af alle systemer og tjenester
  • Aktivering af automatiseret hemmelig scanning for at detektere eksponerede legitimationsoplysninger
  • Undgå genbrug af SSH-nøglepar på tværs af miljøer
  • Håndhævelse af IMDSv2 på alle AWS EC2-instanser for at beskytte adgang til metadata
  • Roterer alle legitimationsoplysninger øjeblikkeligt, hvis der er mistanke om kompromittering

    • En disciplineret tilgang til adgangskontrol og løbende overvågning er afgørende for at beskytte mod stadigt mere automatiserede og omfattende indsamling af legitimationsoplysninger.

    Trending

    Mest sete

    Indlæser...