Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Haavatavus CVE-2025-55182

CVE-2025-55182

Aastaks Mezo aastal Haavatavus
Tõlgi:

On tuvastatud ulatuslik volituste varastamise kampaania, mis kasutab peamise nakkusvektorina React2Shelli haavatavust. See operatsioon on suunatud haavatavatele Next.js rakendustele, kasutades ära CVE-2025-55182, mis on kriitiline viga CVSS-skooriga 10,0, mis mõjutab React Serveri komponente ja Next.js rakenduse ruuterit. Edukas ärakasutamine võimaldab koodi kaugkäivitamist, mis võimaldab ründajatel sihitud süsteemides esialgu jalge alla saada.

Turvauurijad on selle tegevuse omistanud ohuklastrile, mida jälgitakse kui UAT-10608. Kampaania on juba ohustanud vähemalt 766 hosti mitmes geograafilises piirkonnas ja pilvekeskkonnas, mis näitab nii ulatust kui ka operatiivset ulatust.

Automatiseeritud sissetung ulatuslikult: lai ja valimatu sihtimine

Rünnakumuster peegeldab kõrgelt automatiseeritud luure- ja ärakasutamistehnikaid. Arvatakse, et ohutegijad toetuvad avalikult lekkinud Next.js juurutuste tuvastamiseks, mis on haavatavad haavatavuse suhtes, ulatuslikele skaneerimisvahenditele nagu Shodan, Censys või kohandatud skanneritele.

See valimatu sihtimisstrateegia võimaldab haavatavaid süsteeme kiiresti tuvastada, suurendades oluliselt edukust ja kompromiteerimise ulatust.

Mitmeastmeline kasuliku koormuse juurutamine: juurdepääsust andmete kogumiseni

Pärast esialgset rünnakut kasutatakse dropperit, et installida mitmefaasiline andmete kogumise raamistik, mida tuntakse nime all NEXUS Listener. See raamistik juhib automatiseeritud skripte, mis on loodud tundlike andmete hankimiseks nakatunud süsteemidest ja nende edastamiseks tsentraliseeritud juhtimis- ja kontrolliinfrastruktuuri.

Saagikoristusprotsess on ulatuslik ja selle käigus kogutakse süstemaatiliselt:

  • Keskkonnamuutujad ja JSON-parsitud käitusaja konfiguratsioonid
  • SSH privaatvõtmed ja authorized_keys failid
  • Shelli käskude ajalugu ja tööprotsesside üksikasjad
  • Kubernetesi teenusekonto tokenid ja Dockeri konteineri konfiguratsioonid
  • API-võtmed, andmebaasi identimisandmed ja pilveteenuste saladused
  • Ajutised IAM-i volitused hangitakse pilvemetaandmete teenuste (AWS, Google Cloud, Microsoft Azure) kaudu

NEXUS Listener: tsentraliseeritud luure ja kontroll

Operatsiooni keskmes on NEXUS Listener, parooliga kaitstud veebipõhine rakendus, mis asub ründajate C2-infrastruktuuril. See liides pakub operaatoritele põhjalikku graafilist juhtpaneeli varastatud andmete jälgimiseks ja analüüsimiseks.

Platvormi peamised võimalused hõlmavad järgmist:

  • Reaalajas nähtavus ohustatud hostide ja kogutud volituste kohta
  • Otsingufunktsioon andmete tõhusaks filtreerimiseks ja analüüsimiseks
  • Koondstatistika, mis kirjeldab üksikasjalikult volituste tüüpe ja mahtusid
  • Süsteemi mõõdikud, näiteks rakenduse tööaeg ja tööolek

Praegu vaadeldav versioon, NEXUS Listener V3, viitab pidevale arendusele ja täiustustele, mis viitab küpsele ja arenevale tööriistakomplektile.

Kõrge väärtusega saladuste paljastamine: ohtlik andmevahemälu

Mõnel juhul on valesti konfigureeritud või autentimata NEXUS Listeneri paneelid paljastanud laia valikut tundlikke volitusi. Nende hulka kuuluvad API-võtmed, mis on seotud finantsteenustega nagu Stripe, tehisintellekti platvormidega nagu OpenAI, Anthropic ja NVIDIA NIM, aga ka sideteenustega, nagu SendGrid ja Brevo.

Lisaks on ohustatud Telegrami bottide tokenid, veebikonksude saladused, GitHubi ja GitLabi tokenid ning andmebaasi ühendusstringid. See ohtrate andmete ulatus suurendab oluliselt allavoolu rünnakute potentsiaali.

Strateegiline mõju: kogu infrastruktuuri ökosüsteemide kaardistamine

Lisaks individuaalsetele volitustele pakuvad koondandmed ohvrite keskkondade üksikasjalikku plaani. Ründajad saavad ülevaate juurutatud teenustest, konfiguratsioonimustritest, kasutatavatest pilveteenuse pakkujatest ja kolmandate osapoolte integratsioonidest.

Selline luureteave võimaldab sihipäraseid järeloperatsioone, sealhulgas külgmist liikumist, privileegide eskaleerimist, sotsiaalse manipuleerimise kampaaniaid või juurdepääsu edasimüüki teistele ohutegelastele.

Kaitsemeetmed: riski maandamine ja kokkupuute piiramine

Selle kampaania ulatus ja sügavus rõhutavad ennetavate turvameetmete vajalikkust. Organisatsioonid peavad riski vähendamiseks seadma esikohale range keskkonnaauditi ja volituste haldamise tavad.

Soovitatavad tegevused hõlmavad järgmist:

  • Vähimate privileegide põhimõtte jõustamine kõigis süsteemides ja teenustes
  • Paljastatud volituste tuvastamiseks automaatse salajase skaneerimise lubamine
  • SSH-võtmepaaride taaskasutamise vältimine eri keskkondades
  • IMDSv2 jõustamine kõigis AWS EC2 eksemplarides metaandmetele juurdepääsu kaitsmiseks
  • Kahtlustatava ohu korral vahetatakse kõik volitused koheselt

    • Distsiplineeritud lähenemine juurdepääsukontrollile ja pidevale jälgimisele on hädavajalik, et kaitsta end üha automatiseeritud ja ulatuslike volituste kogumise operatsioonide eest.

    Trendikas

    Enim vaadatud

    Laadimine...