CVE-2025-55182

យុទ្ធនាការប្រមូលព័ត៌មានសម្ងាត់ទ្រង់ទ្រាយធំមួយត្រូវបានកំណត់អត្តសញ្ញាណដោយទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះ React2Shell ជាវ៉ិចទ័រឆ្លងចម្បងរបស់វា។ ប្រតិបត្តិការនេះកំណត់គោលដៅកម្មវិធី Next.js ដែលងាយរងគ្រោះ ជាពិសេសការកេងប្រវ័ញ្ច CVE-2025-55182 ដែលជាកំហុសធ្ងន់ធ្ងរដែលមានពិន្ទុ CVSS 10.0 ដែលប៉ះពាល់ដល់ React Server Components និង Next.js App Router។ ការកេងប្រវ័ញ្ចដោយជោគជ័យអាចឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានទីតាំងដំបូងនៅក្នុងប្រព័ន្ធគោលដៅ។

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានសន្មតសកម្មភាពនេះទៅនឹងចង្កោមគំរាមកំហែងដែលត្រូវបានតាមដានថាជា UAT-10608។ យុទ្ធនាការនេះបានធ្វើឱ្យខូចម៉ាស៊ីនយ៉ាងហោចណាស់ 766 នៅទូទាំងតំបន់ភូមិសាស្ត្រ និងបរិស្ថានពពកជាច្រើន ដែលបង្ហាញពីទាំងទំហំ និងវិសាលភាពប្រតិបត្តិការ។

ការឈ្លានពានដោយស្វ័យប្រវត្តិក្នុងទ្រង់ទ្រាយធំ៖ ការកំណត់គោលដៅទូលំទូលាយ និងមិនរើសអើង

គំរូនៃការវាយប្រហារឆ្លុះបញ្ចាំងពីបច្ចេកទេសឈ្លបយកការណ៍ និងការកេងប្រវ័ញ្ចដែលដំណើរការដោយស្វ័យប្រវត្តិខ្ពស់។ គេជឿថា ភ្នាក់ងារគំរាមកំហែងពឹងផ្អែកលើឧបករណ៍ស្កេនទ្រង់ទ្រាយធំដូចជា Shodan, Censys ឬម៉ាស៊ីនស្កេនដែលបង្កើតឡើងតាមតម្រូវការ ដើម្បីកំណត់អត្តសញ្ញាណការដាក់ពង្រាយ Next.js ដែលងាយរងគ្រោះ។

យុទ្ធសាស្ត្រកំណត់គោលដៅដោយមិនរើសអើងនេះអាចឱ្យមានការកំណត់អត្តសញ្ញាណប្រព័ន្ធងាយរងគ្រោះយ៉ាងឆាប់រហ័ស ដែលបង្កើនអត្រាជោគជ័យ និងទំហំនៃការសម្របសម្រួលយ៉ាងខ្លាំង។

ការដាក់ពង្រាយ Payload ច្រើនដំណាក់កាល៖ ពីការចូលប្រើរហូតដល់ការប្រមូលទិន្នន័យ

បន្ទាប់ពីការសម្របសម្រួលដំបូង ឧបករណ៍ទម្លាក់មេរោគត្រូវបានដាក់ពង្រាយដើម្បីដំឡើងក្របខ័ណ្ឌប្រមូលផលច្រើនដំណាក់កាល ដែលគេស្គាល់ថាជា NEXUS Listener។ ក្របខ័ណ្ឌនេះរៀបចំស្គ្រីបស្វ័យប្រវត្តិដែលត្រូវបានរចនាឡើងដើម្បីទាញយកទិន្នន័យរសើបពីប្រព័ន្ធដែលឆ្លងមេរោគ ហើយច្រោះវាទៅកាន់ហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងត្រួតពិនិត្យកណ្តាល (C2)។

ដំណើរការប្រមូលផលមានលក្ខណៈទូលំទូលាយ និងប្រមូលជាប្រព័ន្ធ៖

• អថេរបរិស្ថាន និងការកំណត់រចនាសម្ព័ន្ធពេលដំណើរការដែលបានញែកដោយ JSON
• កូនសោឯកជន SSH និងឯកសារ authorized_keys
• ប្រវត្តិពាក្យបញ្ជា Shell និងព័ត៌មានលម្អិតនៃដំណើរការដែលកំពុងដំណើរការ
• ថូខឹនគណនីសេវាកម្ម Kubernetes និងការកំណត់រចនាសម្ព័ន្ធកុងតឺន័រ Docker
• សោ API, ព័ត៌មានសម្ងាត់មូលដ្ឋានទិន្នន័យ និងអាថ៌កំបាំងសេវាកម្មពពក
• បានទាញយកព័ត៌មានសម្ងាត់ IAM បណ្ដោះអាសន្នតាមរយៈសេវាកម្មទិន្នន័យមេតាលើពពក (AWS, Google Cloud, Microsoft Azure)

កម្មវិធីស្តាប់ NEXUS៖ ភាពវៃឆ្លាត និងការគ្រប់គ្រងកណ្តាល

នៅ​ក្នុង​ប្រតិបត្តិការ​ស្នូល​គឺ NEXUS Listener ដែល​ជា​កម្មវិធី​បណ្ដាញ​ដែល​ការពារ​ដោយ​ពាក្យ​សម្ងាត់ ដែល​បង្ហោះ​នៅ​លើ​ហេដ្ឋារចនាសម្ព័ន្ធ C2 របស់​អ្នក​វាយប្រហារ។ ចំណុច​ប្រទាក់​នេះ​ផ្តល់​ឱ្យ​ប្រតិបត្តិករ​នូវ​ផ្ទាំង​គ្រប់គ្រង​ក្រាហ្វិក​ដ៏​ទូលំទូលាយ​មួយ ដើម្បី​តាមដាន និង​វិភាគ​ទិន្នន័យ​ដែល​ត្រូវ​បាន​លួច។

សមត្ថភាពសំខាន់ៗរបស់វេទិការួមមាន៖

• ភាពមើលឃើញជាក់ស្តែងទៅក្នុងម៉ាស៊ីនដែលរងការគំរាមកំហែង និងព័ត៌មានសម្ងាត់ដែលប្រមូលបាន
• មុខងារស្វែងរកសម្រាប់ការច្រោះ និងវិភាគទិន្នន័យប្រកបដោយប្រសិទ្ធភាព
• ស្ថិតិសរុបដែលរៀបរាប់លម្អិតអំពីប្រភេទ និងបរិមាណនៃលិខិតសម្គាល់
• រង្វាស់ប្រព័ន្ធដូចជាពេលវេលាដំណើរការកម្មវិធី និងស្ថានភាពប្រតិបត្តិការ

កំណែ​ដែល​កំពុង​ត្រូវ​បាន​សង្កេត​ឃើញ​នា​ពេល​បច្ចុប្បន្ន គឺ NEXUS Listener V3 បង្ហាញ​ពី​ការ​អភិវឌ្ឍ និង​ការ​កែលម្អ​ជា​បន្តបន្ទាប់ ដែល​បង្ហាញ​ពី​សំណុំ​ឧបករណ៍​ដែល​មាន​ភាព​ចាស់ទុំ និង​វិវត្តន៍។

ការលាតត្រដាងអាថ៌កំបាំងដែលមានតម្លៃខ្ពស់៖ ឃ្លាំងសម្ងាត់ទិន្នន័យដ៏គ្រោះថ្នាក់

ក្នុងករណីខ្លះ បន្ទះ NEXUS Listener ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវ ឬមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ បានលាតត្រដាងព័ត៌មានសម្ងាត់ជាច្រើនប្រភេទ។ ទាំងនេះរួមមានសោ API ដែលភ្ជាប់ទៅនឹងសេវាកម្មហិរញ្ញវត្ថុដូចជា Stripe វេទិកាបញ្ញាសិប្បនិម្មិតដូចជា OpenAI, Anthropic និង NVIDIA NIM ក៏ដូចជាសេវាកម្មទំនាក់ទំនងរួមមាន SendGrid និង Brevo។

ទ្រព្យសកម្មបន្ថែមដែលត្រូវបានបង្ហាញរួមមាន ថូខឹន Telegram bot, webhook secrets, GitHub និង GitLab tokens និង database connection strings។ វិសាលភាពនៃទិន្នន័យដែលរងការលួចចូលនេះបង្កើនសក្តានុពលសម្រាប់ការវាយប្រហារជាបន្តបន្ទាប់។

ផលប៉ះពាល់ជាយុទ្ធសាស្ត្រ៖ ការកំណត់ផែនទីប្រព័ន្ធអេកូឡូស៊ីហេដ្ឋារចនាសម្ព័ន្ធទាំងមូល

ក្រៅពីព័ត៌មានសម្គាល់បុគ្គល ទិន្នន័យដែលប្រមូលផ្តុំផ្តល់នូវគំរូលម្អិតនៃបរិស្ថានជនរងគ្រោះ។ អ្នកវាយប្រហារទទួលបានភាពមើលឃើញទៅក្នុងសេវាកម្មដែលដាក់ពង្រាយ គំរូការកំណត់រចនាសម្ព័ន្ធ អ្នកផ្តល់សេវា cloud ដែលកំពុងប្រើប្រាស់ និងការរួមបញ្ចូលភាគីទីបី។

ភាពវៃឆ្លាតបែបនេះអាចឱ្យមានប្រតិបត្តិការតាមដានដែលមានគោលដៅខ្ពស់ រួមទាំងចលនាចំហៀង ការកើនឡើងសិទ្ធិ យុទ្ធនាការវិស្វកម្មសង្គម ឬការលក់បន្តសិទ្ធិចូលប្រើទៅឱ្យតួអង្គគំរាមកំហែងផ្សេងទៀត។

វិធានការការពារ៖ ការកាត់បន្ថយហានិភ័យ និងការកំណត់ការប៉ះពាល់

ទំហំ និងជម្រៅនៃយុទ្ធនាការនេះគូសបញ្ជាក់ពីភាពចាំបាច់សម្រាប់វិធានការសន្តិសុខប្រកបដោយភាពសកម្ម។ អង្គការនានាត្រូវតែផ្តល់អាទិភាពដល់ការធ្វើសវនកម្មបរិស្ថានយ៉ាងម៉ត់ចត់ និងការអនុវត្តការគ្រប់គ្រងលិខិតសម្គាល់ ដើម្បីកាត់បន្ថយការប៉ះពាល់។

សកម្មភាពដែលបានណែនាំរួមមាន៖

• ការអនុវត្តគោលការណ៍នៃឯកសិទ្ធិតិចតួចបំផុតនៅទូទាំងប្រព័ន្ធ និងសេវាកម្មទាំងអស់

វិធីសាស្រ្តដែលមានវិន័យចំពោះការគ្រប់គ្រងការចូលប្រើ និងការត្រួតពិនិត្យជាបន្តបន្ទាប់គឺមានសារៈសំខាន់ណាស់ ដើម្បីការពារប្រឆាំងនឹងប្រតិបត្តិការប្រមូលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណដែលធ្វើស្វ័យប្រវត្តិកម្ម និងទ្រង់ទ្រាយធំកាន់តែខ្លាំងឡើង។