Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Sebezhetőség CVE-2025-55182

CVE-2025-55182

Mezo -ra Sebezhetőség-ben
Fordítás ide:

Egy nagyszabású hitelesítőadat-szerzési kampányt azonosítottak, amely a React2Shell sebezhetőséget használja ki elsődleges fertőzési vektorként. A művelet a sebezhető Next.js alkalmazásokat célozza meg, konkrétan a CVE-2025-55182 sérülékenységet kihasználva, amely egy kritikus, 10.0 CVSS pontszámú hiba, és a React Server komponenseket és a Next.js alkalmazásútválasztót érinti. A sikeres kihasználás lehetővé teszi a távoli kódfuttatást, így a támadók megvethetik a lábukat a célzott rendszereken belül.

A biztonsági kutatók ezt a tevékenységet egy UAT-10608 azonosítójú fenyegetéscsoportnak tulajdonították. A kampány már legalább 766 hosztot kompromittálta több földrajzi régióban és felhőkörnyezetben, ami mind a méretet, mind a működési hatókört bizonyítja.

Nagy léptékű automatizált behatolás: széles körű és megkülönböztetés nélküli célzás

A támadási minta nagymértékben automatizált felderítő és kihasználó technikákat tükröz. A fenyegetések elkövetői feltehetően nagyméretű szkennelőeszközökre, például Shodanra, Censysre vagy egyedi fejlesztésű szkennerekre támaszkodnak a nyilvánosan elérhető Next.js telepítések azonosítására, amelyek a sebezhetőségnek kitettek.

Ez a válogatás nélküli célzási stratégia lehetővé teszi a sebezhető rendszerek gyors azonosítását, jelentősen növelve a sikerességi arányt és a behatolás mértékét.

Többlépcsős hasznos teher telepítése: a hozzáféréstől az adatgyűjtésig

A kezdeti behatolást követően egy droppert telepítenek egy NEXUS Listener nevű többfázisú adatgyűjtő keretrendszer telepítéséhez. Ez a keretrendszer automatizált szkripteket vezérel, amelyek célja, hogy érzékeny adatokat nyerjenek ki a fertőzött rendszerekből, és azokat egy központosított parancsnoki és irányítási (C2) infrastruktúrába juttassák.

A betakarítási folyamat kiterjedt, és szisztematikusan gyűjti a következőket:

  • Környezeti változók és JSON-nal elemzett futásidejű konfigurációk
  • SSH privát kulcsok és authorized_keys fájlok
  • Shell parancsok előzményei és futó folyamatok részletei
  • Kubernetes szolgáltatásfiók-tokenek és Docker-konténerkonfigurációk
  • API-kulcsok, adatbázis-hitelesítő adatok és felhőszolgáltatás-titkok
  • Ideiglenes IAM-hitelesítő adatok lekérése felhőalapú metaadat-szolgáltatásokon (AWS, Google Cloud, Microsoft Azure) keresztül

NEXUS Listener: Központosított intelligencia és irányítás

A művelet középpontjában a NEXUS Listener áll, egy jelszóval védett, webalapú alkalmazás, amely a támadók C2 infrastruktúráján fut. Ez a felület átfogó grafikus felületet biztosít az operátoroknak az ellopott adatok monitorozásához és elemzéséhez.

A platform főbb képességei a következők:

  • Valós idejű betekintést nyerhetünk a feltört hosztokba és a begyűjtött hitelesítő adatokba
  • Keresési funkció a hatékony adatszűréshez és -elemzéshez
  • Összesített statisztikák a hitelesítő adatok típusairól és mennyiségéről
  • Rendszermutatók, például az alkalmazások üzemideje és működési állapota

A jelenleg megfigyelt verzió, a NEXUS Listener V3 folyamatos fejlesztést és finomítást jelez, ami egy kiforrott és fejlődő eszközkészletre utal.

Nagy értékű titkok felfedése: Veszélyes adatgyorsítótár

Bizonyos esetekben a rosszul konfigurált vagy nem hitelesített NEXUS Listener panelek számos bizalmas hitelesítő adatot hoztak nyilvánosságra. Ezek közé tartoznak olyan pénzügyi szolgáltatásokhoz, mint a Stripe, mesterséges intelligencia platformokhoz, mint az OpenAI, az Anthropic és az NVIDIA NIM, valamint kommunikációs szolgáltatásokhoz, mint a SendGrid és a Brevo, kapcsolódó API-kulcsok.

További kiszivárgott eszközök közé tartoznak a Telegram bot tokenek, webhook titkos kódok, GitHub és GitLab tokenek, valamint adatbázis-kapcsolati karakterláncok. A veszélyeztetett adatok ilyen széles skálája jelentősen megnöveli a downstream támadások lehetőségét.

Stratégiai hatás: Teljes infrastrukturális ökoszisztémák feltérképezése

Az egyéni hitelesítő adatokon túl az összesített adatok részletes képet adnak az áldozatok környezetéről. A támadók betekintést nyerhetnek a telepített szolgáltatásokba, a konfigurációs mintákba, a használt felhőszolgáltatókba és a harmadik féltől származó integrációkba.

Az ilyen jellegű hírszerzés lehetővé teszi a célzott további műveleteket, beleértve az oldalirányú mozgást, a privilégiumok eszkalálását, a társadalmi manipulációval kapcsolatos kampányokat vagy a hozzáférés más fenyegető szereplőknek történő viszonteladását.

Védekező kényszerintézkedések: A kockázat csökkentése és a kitettség korlátozása

A kampány mértéke és mélysége rávilágít a proaktív biztonsági intézkedések szükségességére. A szervezeteknek prioritásként kell kezelniük a szigorú környezeti auditokat és a hitelesítőadat-kezelési gyakorlatokat a kitettség csökkentése érdekében.

Az ajánlott intézkedések a következők:

  • A legkevesebb jogosultság elvének érvényesítése minden rendszerben és szolgáltatásban
  • Automatikus titkosítási vizsgálat engedélyezése a nyilvánosságra jutott hitelesítő adatok észleléséhez
  • SSH kulcspárok újrafelhasználásának elkerülése különböző környezetekben
  • Az IMDSv2 betartatása minden AWS EC2 példányon a metaadatokhoz való hozzáférés védelme érdekében
  • Az összes hitelesítő adat azonnali lecserélése, ha gyanítható, hogy az adatok veszélybe kerülnek.

    • A hozzáférés-vezérlés és a folyamatos felügyelet fegyelmezett megközelítése elengedhetetlen a növekvő mértékben automatizált és nagymértékű hitelesítőadat-gyűjtési műveletek elleni védekezéshez.

    Felkapott

    Elérte a tárhelykorlátot az e-mailes átverés miatt

    Adathalászat, Spam
    A váratlan e-mailek gyakran meggyőzőnek tűnhetnek, de az éberség elengedhetetlen. A kiberbűnözők a sürgősségre és a félelemre támaszkodnak, hogy manipulálják a címzetteket, és megfelelő ellenőrzés nélkül cselekedjenek. Az egyik ilyen széles körben elterjedt fenyegetés a „Tárhelykorlát elérve” e-mailes átverés, egy megtévesztő kampány, amelynek célja, hogy a felhasználókat rosszindulatú vagy...

    Legnézettebb

    Betöltés...