قیمت چند مجوز تخفیف
پایگاه داده تهدید آسیب پذیری CVE-2025-55182

CVE-2025-55182

تا Mezo در آسیب پذیری
ترجمه به:

یک کمپین جمع‌آوری اطلاعات کاربری در مقیاس بزرگ شناسایی شده است که از آسیب‌پذیری React2Shell به عنوان عامل اصلی آلودگی خود استفاده می‌کند. این عملیات، برنامه‌های آسیب‌پذیر Next.js را هدف قرار می‌دهد و به طور خاص از CVE-2025-55182، یک نقص بحرانی با امتیاز CVSS 10.0 که بر اجزای React Server و Next.js App Router تأثیر می‌گذارد، سوءاستفاده می‌کند. بهره‌برداری موفقیت‌آمیز، امکان اجرای کد از راه دور را فراهم می‌کند و به مهاجمان اجازه می‌دهد تا جای پای اولیه خود را در سیستم‌های هدف به دست آورند.

محققان امنیتی این فعالیت را به یک خوشه تهدید با شناسه UAT-10608 نسبت داده‌اند. این کمپین تاکنون حداقل ۷۶۶ میزبان را در مناطق جغرافیایی و محیط‌های ابری مختلف به خطر انداخته است که نشان‌دهنده مقیاس و دسترسی عملیاتی آن است.

نفوذ خودکار در مقیاس بزرگ: هدف‌گیری گسترده و بی‌هدف

الگوی حمله، تکنیک‌های شناسایی و بهره‌برداری بسیار خودکار را نشان می‌دهد. اعتقاد بر این است که عاملان تهدید برای شناسایی استقرارهای Next.js که در معرض دید عموم قرار دارند و مستعد آسیب‌پذیری هستند، به ابزارهای اسکن در مقیاس بزرگ مانند Shodan، Censys یا اسکنرهای سفارشی متکی هستند.

این استراتژی هدف‌گیری بی‌چون‌وچرا، شناسایی سریع سیستم‌های آسیب‌پذیر را امکان‌پذیر می‌کند و به طور قابل توجهی میزان موفقیت و مقیاس نفوذ را افزایش می‌دهد.

استقرار چند مرحله‌ای محموله: از دسترسی تا برداشت داده‌ها

پس از نفوذ اولیه، یک دراپر برای نصب یک چارچوب برداشت چند مرحله‌ای به نام NEXUS Listener مستقر می‌شود. این چارچوب، اسکریپت‌های خودکاری را که برای استخراج داده‌های حساس از سیستم‌های آلوده و انتقال آنها به یک زیرساخت مرکزی فرماندهی و کنترل (C2) طراحی شده‌اند، هماهنگ می‌کند.

فرآیند برداشت گسترده است و به طور سیستماتیک موارد زیر را جمع‌آوری می‌کند:

  • متغیرهای محیطی و پیکربندی‌های زمان اجرا با تجزیه JSON
  • کلیدهای خصوصی SSH و فایل‌های authorized_keys
  • تاریخچه دستورات شل و جزئیات فرآیندهای در حال اجرا
  • توکن‌های حساب سرویس Kubernetes و پیکربندی‌های کانتینر Docker
  • کلیدهای API، اعتبارنامه‌های پایگاه داده و اسرار سرویس ابری
  • اعتبارنامه‌های موقت IAM که از طریق سرویس‌های ابرداده ابری (AWS، Google Cloud، Microsoft Azure) بازیابی می‌شوند

شنونده‌ی نکسوس: هوش و کنترل متمرکز

در هسته این عملیات، NEXUS Listener قرار دارد، یک برنامه تحت وب محافظت‌شده با رمز عبور که در زیرساخت C2 مهاجمان میزبانی می‌شود. این رابط، یک داشبورد گرافیکی جامع را برای اپراتورها فراهم می‌کند تا داده‌های سرقت‌شده را رصد و تجزیه و تحلیل کنند.

قابلیت‌های کلیدی پلتفرم عبارتند از:

  • قابلیت مشاهده‌ی لحظه‌ای میزبان‌های آسیب‌پذیر و اطلاعات محرمانه‌ی جمع‌آوری‌شده
  • قابلیت جستجو برای فیلتر کردن و تجزیه و تحلیل کارآمد داده‌ها
  • آمار تجمیعی که جزئیات انواع و حجم اعتبارنامه‌ها را نشان می‌دهد
  • معیارهای سیستم مانند زمان روشن بودن برنامه و وضعیت عملیاتی

نسخه فعلی مشاهده شده، NEXUS Listener V3، نشان دهنده توسعه و اصلاح مداوم است و نشان دهنده یک مجموعه ابزار بالغ و در حال تکامل است.

افشای اسرار با ارزش بالا: یک مخزن داده خطرناک

در برخی موارد، پنل‌های NEXUS Listener که به اشتباه پیکربندی شده‌اند یا احراز هویت نشده‌اند، طیف گسترده‌ای از اطلاعات حساس را افشا کرده‌اند. این اطلاعات شامل کلیدهای API مرتبط با سرویس‌های مالی مانند Stripe، پلتفرم‌های هوش مصنوعی مانند OpenAI، Anthropic و NVIDIA NIM و همچنین سرویس‌های ارتباطی از جمله SendGrid و Brevo می‌شود.

دارایی‌های افشا شده‌ی دیگر شامل توکن‌های ربات تلگرام، اطلاعات محرمانه‌ی وب‌هوک، توکن‌های گیت‌هاب و گیت‌لب و رشته‌های اتصال پایگاه داده می‌شوند. این وسعت داده‌های در معرض خطر، پتانسیل حملات پایین‌دستی را به طور قابل توجهی افزایش می‌دهد.

تأثیر استراتژیک: نقشه‌برداری از کل اکوسیستم‌های زیرساختی

فراتر از اعتبارنامه‌های فردی، داده‌های جمع‌آوری‌شده، طرح دقیقی از محیط‌های قربانی ارائه می‌دهند. مهاجمان می‌توانند به سرویس‌های مستقر، الگوهای پیکربندی، ارائه‌دهندگان ابری مورد استفاده و ادغام‌های شخص ثالث دسترسی پیدا کنند.

چنین اطلاعاتی، عملیات‌های بعدی بسیار هدفمند، از جمله حرکات جانبی، افزایش امتیاز، کمپین‌های مهندسی اجتماعی یا فروش مجدد دسترسی به سایر عوامل تهدید را امکان‌پذیر می‌سازد.

الزامات دفاعی: کاهش ریسک و محدود کردن مواجهه

مقیاس و عمق این کمپین، ضرورت اقدامات امنیتی پیشگیرانه را برجسته می‌کند. سازمان‌ها باید ممیزی دقیق محیطی و شیوه‌های مدیریت اعتبارنامه را در اولویت قرار دهند تا میزان مواجهه با این تهدیدات را کاهش دهند.

اقدامات توصیه شده عبارتند از:

  • اجرای اصل حداقل امتیاز در تمام سیستم‌ها و سرویس‌ها
  • فعال کردن اسکن مخفی خودکار برای شناسایی اعتبارنامه‌های افشا شده
  • جلوگیری از استفاده مجدد از جفت کلیدهای SSH در محیط‌های مختلف
  • اجرای IMDSv2 در تمام نمونه‌های AWS EC2 برای محافظت از دسترسی به فراداده‌ها
  • در صورت مشکوک بودن به نفوذ، فوراً تمام اعتبارنامه‌ها را بچرخانید

    • یک رویکرد منظم برای کنترل دسترسی و نظارت مستمر برای دفاع در برابر عملیات جمع‌آوری اطلاعات هویتی که به طور فزاینده‌ای خودکار و در مقیاس بزرگ انجام می‌شود، ضروری است.

    پرطرفدار

    کلاهبرداری ایمیلی به حد مجاز رسید

    فیشینگ, هرزنامه
    ایمیل‌های غیرمنتظره اغلب می‌توانند قانع‌کننده به نظر برسند، اما هوشیاری ضروری است. مجرمان سایبری با تکیه بر فوریت و ترس، گیرندگان را بدون تأیید مناسب به انجام کاری ترغیب می‌کنند. یکی از این تهدیدهای گسترده، کلاهبرداری ایمیلی «به حد مجاز فضای ذخیره‌سازی رسیده است» است، یک کمپین فریبنده که برای گمراه کردن کاربران و ترغیب آنها به تعامل با محتوای مخرب یا سودآور طراحی شده است. توهم پر بودن حساب...

    پربیننده ترین

    بارگذاری...