Monen lisenssin alennustarjous
Uhatietokanta Haavoittuvuus CVE-2025-55182

CVE-2025-55182

Vuonna Mezo vuonna Haavoittuvuus
Käännä:

Laajamittainen tunnistetietojen keruukampanja on tunnistettu hyödyntäen React2Shell-haavoittuvuutta ensisijaisena tartuntavektorina. Tämä operaatio kohdistuu haavoittuviin Next.js-sovelluksiin ja hyödyntää erityisesti CVE-2025-55182-haavoittuvuutta, joka on kriittinen CVSS-pistemäärällä 10.0 ja joka vaikuttaa React Server -komponentteihin ja Next.js-sovellusreitittimeen. Onnistunut hyödyntäminen mahdollistaa koodin etäsuorittamisen, jolloin hyökkääjät voivat saada alustavan jalansijan kohdejärjestelmissä.

Tietoturvatutkijat ovat yhdistäneet tämän toiminnan UAT-10608-uhkarypäkseen. Kampanja on jo vaarantanut ainakin 766 isäntäkonetta useilla maantieteellisillä alueilla ja pilviympäristöissä, mikä osoittaa sekä laajuuden että operatiivisen ulottuvuuden.

Automatisoitu tunkeutuminen laajassa mittakaavassa: Laaja ja summittainen kohdentaminen

Hyökkäyskuvio heijastaa pitkälle automatisoituja tiedustelu- ja hyväksikäyttötekniikoita. Uhkatoimijoiden uskotaan käyttävän laajamittaisia skannaustyökaluja, kuten Shodania, Censysia tai räätälöityjä skannereita, tunnistaakseen julkisesti paljastuneet Next.js-käyttöönotot, jotka ovat alttiita haavoittuvuudelle.

Tämä valikoiva kohdistusstrategia mahdollistaa haavoittuvien järjestelmien nopean tunnistamisen, mikä lisää merkittävästi onnistumisprosenttia ja tietomurtojen laajuutta.

Monivaiheinen hyötykuorman käyttöönotto: käyttöoikeudesta tiedonkeruuseen

Alkuperäisen tietomurron jälkeen otetaan käyttöön dropperi, joka asentaa monivaiheisen NEXUS Listener -nimisen tiedonkeruujärjestelmän. Tämä järjestelmä ohjaa automatisoituja komentosarjoja, jotka on suunniteltu poimimaan arkaluonteisia tietoja tartunnan saaneista järjestelmistä ja siirtämään ne keskitettyyn komento- ja hallintainfrastruktuuriin (C2).

Sadonkorjuuprosessi on laaja ja kerää järjestelmällisesti:

  • Ympäristömuuttujat ja JSON-jäsennetyt suorituksenaikaiset konfiguraatiot
  • SSH-yksityiset avaimet ja authorized_keys-tiedostot
  • Shell-komentohistoriat ja suoritettavan prosessin tiedot
  • Kubernetes-palvelutilin tokenit ja Docker-konttien konfiguroinnit
  • API-avaimet, tietokannan tunnistetiedot ja pilvipalvelusalaisuudet
  • Väliaikaiset IAM-tunnistetiedot haetaan pilvimetatietopalveluiden (AWS, Google Cloud, Microsoft Azure) kautta

NEXUS-kuuntelija: Keskitetty älykkyys ja hallinta

Operaation ytimessä on NEXUS Listener, salasanasuojattu verkkopohjainen sovellus, jota isännöidään hyökkääjien C2-infrastruktuurissa. Tämä käyttöliittymä tarjoaa operaattoreille kattavan graafisen kojelaudan varastettujen tietojen valvontaan ja analysointiin.

Alustan keskeisiin ominaisuuksiin kuuluvat:

  • Reaaliaikainen näkyvyys vaarantuneisiin palvelimiin ja kerättyihin tunnistetietoihin
  • Hakutoiminto tehokasta datan suodatusta ja analysointia varten
  • Yhdistetyt tilastot, joissa eritellään tunnistetyyppien ja -määrien tiedot
  • Järjestelmän mittarit, kuten sovelluksen käyttöaika ja toimintatila

Tällä hetkellä havaittu versio, NEXUS Listener V3, viittaa jatkuvaan kehitykseen ja hienosäätöön, mikä viittaa kypsään ja kehittyvään työkalupakkiin.

Arvokkaiden salaisuuksien paljastuminen: vaarallinen datavälimuisti

Joissakin tapauksissa väärin konfiguroidut tai todentamattomat NEXUS Listener -paneelit ovat paljastaneet laajan valikoiman arkaluonteisia tunnistetietoja. Näitä ovat muun muassa API-avaimet, jotka on sidottu rahoituspalveluihin, kuten Stripe, tekoälyalustoihin, kuten OpenAI, Anthropic ja NVIDIA NIM, sekä viestintäpalveluihin, kuten SendGrid ja Brevo.

Muita paljastuneita resursseja ovat Telegram-bottien tokenit, webhook-salaisuudet, GitHub- ja GitLab-tokenit sekä tietokantayhteysmerkkijonot. Tämä vaarantuneen datan laajuus lisää merkittävästi alavirran hyökkäysten potentiaalia.

Strateginen vaikutus: Koko infrastruktuuriekosysteemien kartoitus

Yksittäisten tunnistetietojen lisäksi koottu data tarjoaa yksityiskohtaisen kuvan uhrien ympäristöistä. Hyökkääjät saavat näkyvyyttä käyttöönotettuihin palveluihin, määritysmalleihin, käytössä oleviin pilvipalveluntarjoajiin ja kolmansien osapuolten integraatioihin.

Tällainen tiedustelutieto mahdollistaa tarkasti kohdennetut jatkooperaatiot, mukaan lukien sivuttaisliikkeet, etuoikeuksien eskaloinnin, sosiaalisen manipuloinnin kampanjat tai käyttöoikeuksien jälleenmyynnin muille uhkatoimijoille.

Puolustuksellinen imperatiivi: Riskien lieventäminen ja altistumisen rajoittaminen

Tämän kampanjan laajuus ja laajuus korostavat ennakoivien turvatoimien tarvetta. Organisaatioiden on priorisoitava tiukkaa ympäristön auditointia ja tunnistetietojen hallintakäytäntöjä altistumisen vähentämiseksi.

Suositeltuihin toimiin kuuluvat:

  • Vähiten oikeuksien periaatteen täytäntöönpano kaikissa järjestelmissä ja palveluissa
  • Automaattisen salausskannauksen käyttöönotto paljastuneiden tunnistetietojen havaitsemiseksi
  • SSH-avainparien uudelleenkäytön välttäminen eri ympäristöissä
  • IMDSv2:n käyttöönotto kaikissa AWS EC2 -instansseissa metatietojen käytön suojaamiseksi
  • Kaikkien tunnistetietojen välitön kierrätys, jos epäillään niiden vaarantumista

    • Kurinalainen lähestymistapa pääsynhallintaan ja jatkuvaan valvontaan on välttämätöntä yhä automatisoituneemmilta ja laajamittaisemmilta tunnistetietojen keruuoperaatioilta suojautumiseksi.

    Trendaavat

    Tallennusraja saavutettu Sähköpostihuijaus

    Tietojenkalastelu, Roskaposti
    Odottamattomat sähköpostit voivat usein vaikuttaa vakuuttavilta, mutta valppaus on välttämätöntä. Kyberrikolliset luottavat kiireellisyyteen ja pelkoon manipuloidakseen vastaanottajia toimimaan ilman asianmukaista vahvistusta. Yksi tällainen laajalle levinnyt uhka on "Tallennusraja saavutettu" -sähköpostihuijaus, harhaanjohtava kampanja, jonka tarkoituksena on johtaa käyttäjiä harhaan ja saada...

    Eniten katsottu

    Ladataan...