Preventivo sconto multi-licenza
Database delle minacce Vulnerabilità CVE-2025-55182

CVE-2025-55182

Entro Mezo nel Vulnerabilità
Traduci in:

È stata identificata una campagna di furto di credenziali su larga scala che sfrutta la vulnerabilità di React2Shell come principale vettore di infezione. Questa operazione prende di mira le applicazioni Next.js vulnerabili, in particolare sfruttando la CVE-2025-55182, una falla critica con un punteggio CVSS di 10.0 che interessa i componenti React Server e Next.js App Router. Lo sfruttamento riuscito consente l'esecuzione di codice in remoto, permettendo agli aggressori di ottenere un punto d'appoggio iniziale nei sistemi presi di mira.

I ricercatori di sicurezza hanno attribuito questa attività a un cluster di minacce identificato come UAT-10608. La campagna ha già compromesso almeno 766 host in diverse regioni geografiche e ambienti cloud, dimostrando sia la sua portata che la sua estensione operativa.

Intrusione automatizzata su larga scala: un targeting ampio e indiscriminato

Lo schema di attacco riflette tecniche di ricognizione e sfruttamento altamente automatizzate. Si ritiene che gli autori della minaccia si affidino a strumenti di scansione su larga scala come Shodan, Censys o scanner personalizzati per identificare le implementazioni Next.js esposte pubblicamente e suscettibili alla vulnerabilità.

Questa strategia di targeting indiscriminato consente l'identificazione rapida dei sistemi vulnerabili, aumentando significativamente il tasso di successo e la portata della violazione.

Implementazione del carico utile in più fasi: dall'accesso alla raccolta dei dati

In seguito alla compromissione iniziale, viene distribuito un dropper per installare un framework di raccolta dati multifase noto come NEXUS Listener. Questo framework orchestra script automatizzati progettati per estrarre dati sensibili dai sistemi infetti ed esfiltrarli verso un'infrastruttura centralizzata di comando e controllo (C2).

Il processo di raccolta è esteso e prevede la raccolta sistematica di:

  • Variabili d'ambiente e configurazioni di runtime analizzate in formato JSON
  • Chiavi private SSH e file authorized_keys
  • Cronologia dei comandi della shell e dettagli dei processi in esecuzione
  • Token dell'account di servizio Kubernetes e configurazioni dei container Docker
  • Chiavi API, credenziali del database e segreti del servizio cloud
  • Credenziali IAM temporanee recuperate tramite servizi di metadati cloud (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Intelligenza e controllo centralizzati

Il fulcro dell'operazione è NEXUS Listener, un'applicazione web protetta da password ospitata sull'infrastruttura C2 degli aggressori. Questa interfaccia fornisce agli operatori una dashboard grafica completa per monitorare e analizzare i dati rubati.

Le principali funzionalità della piattaforma includono:

  • Visibilità in tempo reale degli host compromessi e delle credenziali rubate.
  • Funzionalità di ricerca per un filtraggio e un'analisi dei dati efficienti.
  • Statistiche aggregate che dettagliano le tipologie e i volumi delle credenziali.
  • Metriche di sistema come il tempo di attività dell'applicazione e lo stato operativo

La versione attualmente in uso, NEXUS Listener V3, indica un continuo sviluppo e perfezionamento, suggerendo un set di strumenti maturo e in costante evoluzione.

Esposizione di segreti di alto valore: un pericoloso archivio di dati

In alcuni casi, pannelli NEXUS Listener configurati in modo errato o non autenticati hanno esposto una vasta gamma di credenziali sensibili. Tra queste, le chiavi API associate a servizi finanziari come Stripe, piattaforme di intelligenza artificiale come OpenAI, Anthropic e NVIDIA NIM, nonché servizi di comunicazione come SendGrid e Brevo.

Tra le risorse esposte figurano anche i token dei bot di Telegram, i segreti dei webhook, i token di GitHub e GitLab e le stringhe di connessione ai database. Questa vasta gamma di dati compromessi amplifica significativamente il potenziale di attacchi successivi.

Impatto strategico: mappatura di interi ecosistemi infrastrutturali

Oltre alle credenziali individuali, i dati aggregati forniscono un quadro dettagliato degli ambienti delle vittime. Gli aggressori ottengono visibilità sui servizi implementati, sui modelli di configurazione, sui provider cloud utilizzati e sulle integrazioni con terze parti.

Tali informazioni consentono di condurre operazioni successive altamente mirate, tra cui spostamenti laterali, escalation dei privilegi, campagne di ingegneria sociale o la rivendita dell'accesso ad altri soggetti che rappresentano una minaccia.

Imperativi difensivi: mitigare il rischio e limitare l'esposizione

La portata e la profondità di questa campagna sottolineano la necessità di misure di sicurezza proattive. Le organizzazioni devono dare priorità a rigorosi audit ambientali e a pratiche di gestione delle credenziali per ridurre l'esposizione al rischio.

Le azioni raccomandate includono:

  • Applicare il principio del minimo privilegio in tutti i sistemi e servizi
  • Abilitazione della scansione automatizzata delle credenziali per rilevare le credenziali esposte
  • Evitare il riutilizzo delle coppie di chiavi SSH in ambienti diversi.
  • Applicazione forzata di IMDSv2 su tutte le istanze AWS EC2 per proteggere l'accesso ai metadati
  • Ruotare immediatamente tutte le credenziali in caso di sospetto di compromissione.

    • Un approccio rigoroso al controllo degli accessi e al monitoraggio continuo è essenziale per difendersi dalle operazioni di raccolta di credenziali, sempre più automatizzate e su larga scala.

    Tendenza

    I più visti

    Caricamento in corso...