CVE-2025-55182

זוהה קמפיין קצירת אישורים בקנה מידה גדול, המנצל את הפגיעות React2Shell כווקטור ההדבקה העיקרי שלו. פעולה זו מכוונת ליישומי Next.js פגיעים, ובפרט לניצול CVE-2025-55182, פגם קריטי עם ציון CVSS של 10.0 המשפיע על רכיבי React Server ועל נתב האפליקציות Next.js. ניצול מוצלח מאפשר ביצוע קוד מרחוק, מה שמאפשר לתוקפים להשיג דריסת רגל ראשונית בתוך מערכות היעד.

חוקרי אבטחה ייחסו פעילות זו לאשכול איומים שסומן כ-UAT-10608. הקמפיין כבר פגע בלפחות 766 מארחים באזורים גיאוגרפיים מרובים וסביבות ענן, דבר המדגים הן קנה מידה והן טווח תפעולי.

חדירה אוטומטית בקנה מידה גדול: מיקוד רחב ובלתי מבחין

דפוס ההתקפה משקף טכניקות סיור וניצול אוטומטיות ביותר. ההערכה היא שגורמי איום מסתמכים על כלי סריקה בקנה מידה גדול כמו Shodan, Censys או סורקים מותאמים אישית כדי לזהות פריסות Next.js שנחשפו לציבור והפגיעות לפגיעות.

אסטרטגיית מיקוד חסרת הבחנה זו מאפשרת זיהוי מהיר של מערכות פגיעות, ומגדילה משמעותית את שיעור ההצלחה ואת היקף הפגיעה.

פריסת מטען רב-שלבית: מגישה ועד איסוף נתונים

לאחר הפריצה הראשונית, נפרסת מערכת הגנה מפני פגיעה (dropper) כדי להתקין מסגרת חילוץ רב-פאזית המכונה NEXUS Listener. מסגרת זו מתזמרת סקריפטים אוטומטיים שנועדו לחלץ נתונים רגישים ממערכות נגועות ולהעבירם לתשתית שליטה ובקרה (C2) מרכזית.

תהליך הקציר נרחב ואוסף באופן שיטתי:

• משתני סביבה ותצורות זמן ריצה מנותחות JSON
• מפתחות פרטיים SSH וקבצי authorized_keys
• היסטוריית פקודות של מעטפת ופרטי תהליכי ריצה
• אסימוני חשבון שירות של Kubernetes ותצורות של מכולות Docker
• מפתחות API, אישורי מסד נתונים וסודות שירותי ענן
• אישורי IAM זמניים שאוחזרו דרך שירותי מטא-נתונים בענן (AWS, Google Cloud, Microsoft Azure)

מאזין NEXUS: בינה ובקרה מרכזיים

בליבת המבצע נמצא ה-NEXUS Listener, יישום מבוסס אינטרנט המוגן בסיסמה המתארח בתשתית ה-C2 של התוקפים. ממשק זה מספק למפעילים לוח מחוונים גרפי מקיף לניטור וניתוח נתונים גנובים.

יכולות מרכזיות של הפלטפורמה כוללות:

• נראות בזמן אמת של מארחים שנפגעו ואישורים שנאספו
• פונקציונליות חיפוש לסינון וניתוח נתונים יעילים
• סטטיסטיקות מצטברות המפרטות סוגי ונפחי אישורים
• מדדי מערכת כגון זמן פעילות אפליקציה ומצב תפעולי

הגרסה הנצפית כיום, NEXUS Listener V3, מצביעה על פיתוח ועידון מתמשכים, דבר המצביע על מערך כלים בוגר ומתפתח.

חשיפת סודות בעלי ערך גבוה: מטמון נתונים מסוכן

במקרים מסוימים, פאנלים של NEXUS Listener שתצורתם שגויה או שלא אומתו חשפו מגוון רחב של אישורים רגישים. אלה כוללים מפתחות API הקשורים לשירותים פיננסיים כמו Stripe, פלטפורמות בינה מלאכותית כמו OpenAI, Anthropic ו-NVIDIA NIM, וכן שירותי תקשורת הכוללים SendGrid ו-Brevo.

נכסים חשופים נוספים כוללים אסימוני בוט של טלגרם, סודות של webhook, אסימוני GitHub ו-GitLab ומחרוזות חיבור למסד נתונים. מגוון נתונים שנפגעו מגביר משמעותית את הפוטנציאל להתקפות במורד הזרם.

השפעה אסטרטגית: מיפוי מערכות אקולוגיות שלמות של תשתיות

מעבר לאישורים אישיים, הנתונים המצטברים מספקים תוכנית אב מפורטת של סביבות הקורבנות. תוקפים מקבלים נראות לגבי שירותים שנפרסו, דפוסי תצורה, ספקי ענן בשימוש ואינטגרציות עם צד שלישי.

מודיעין כזה מאפשר פעולות המשך ממוקדות ביותר, כולל תנועה רוחבית, הסלמת הרשאות, קמפיינים של הנדסה חברתית או מכירה חוזרת של גישה לגורמי איום אחרים.

ציוויים הגנתיים: הפחתת סיכונים והגבלת חשיפה

היקף ועומק הקמפיין הזה מדגישים את הצורך באמצעי אבטחה פרואקטיביים. ארגונים חייבים לתעדף נהלים קפדניים של ביקורת סביבתית וניהול אישורים כדי להפחית את החשיפה.

פעולות מומלצות כוללות:

• אכיפת עקרון ההרשאות הנמוכות ביותר בכל המערכות והשירותים

גישה ממושמעת לבקרת גישה וניטור מתמשך חיונית להגנה מפני פעולות קצירת אישורים אוטומטיות יותר ויותר וקנה מידה גדול.