Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Pažeidžiamumas CVE-2025-55182

CVE-2025-55182

Autorius Mezo, Pažeidžiamumas
Versti į:

Nustatyta didelio masto prisijungimo duomenų rinkimo kampanija, pasinaudojant „React2Shell“ pažeidžiamumu kaip pagrindiniu užkrato vektoriumi. Ši operacija skirta pažeidžiamoms „Next.js“ programoms, konkrečiai išnaudojant CVE-2025-55182 – kritinį trūkumą, kurio CVSS įvertinimas yra 10,0 ir kuris paveikia „React Server“ komponentus ir „Next.js“ programų maršrutizatorių. Sėkmingas spragos išnaudojimas leidžia nuotoliniu būdu vykdyti kodą, o tai leidžia užpuolikams įgyti pradinę poziciją tikslinėse sistemose.

Saugumo tyrėjai šią veiklą priskyrė grėsmių grupei, kuri buvo sugrupuota kaip UAT-10608. Kampanija jau paveikė mažiausiai 766 pagrindinius kompiuterius įvairiuose geografiniuose regionuose ir debesų aplinkose, o tai rodo tiek mastą, tiek veikimo pasiekiamumą.

Automatinis įsilaužimas dideliu mastu: platus ir nesirenkantis taikymas

Ši ataka atspindi labai automatizuotus žvalgybos ir išnaudojimo metodus. Manoma, kad grėsmių skleidėjai naudojasi didelio masto skenavimo įrankiais, tokiais kaip „Shodan“, „Censys“ arba specialiai sukurtais skeneriais, kad nustatytų viešai prieinamus „Next.js“ diegimus, kurie yra jautrūs pažeidžiamumui.

Ši nekritiška taikinio nustatymo strategija leidžia greitai identifikuoti pažeidžiamas sistemas, žymiai padidindama sėkmės rodiklį ir įsilaužimo mastą.

Daugiapakopis naudingosios apkrovos diegimas: nuo prieigos iki duomenų rinkimo

Po pradinio užkrėtimo diegiamas daugiafazis duomenų rinkimo karkasas, vadinamas „NEXUS Listener“. Šis karkasas valdo automatizuotus scenarijus, skirtus išgauti jautrius duomenis iš užkrėstų sistemų ir perkelti juos į centralizuotą valdymo ir kontrolės (C2) infrastruktūrą.

Derliaus nuėmimo procesas yra platus ir sistemingai renkama:

  • Aplinkos kintamieji ir JSON būdu išanalizuotos vykdymo laiko konfigūracijos
  • SSH privatūs raktai ir authorized_keys failai
  • Apvalkalo komandų istorija ir vykdomo proceso informacija
  • „Kubernetes“ paslaugos paskyros žetonai ir „Docker“ konteinerių konfigūracijos
  • API raktai, duomenų bazės kredencialai ir debesies paslaugų paslaptys
  • Laikini IAM prisijungimo duomenys, gauti naudojant debesies metaduomenų paslaugas (AWS, „Google Cloud“, „Microsoft Azure“)

„NEXUS Listener“: centralizuotas intelektas ir kontrolė

Operacijos pagrindas yra „NEXUS Listener“ – slaptažodžiu apsaugota žiniatinklio programa, talpinama užpuolikų C2 infrastruktūroje. Ši sąsaja suteikia operatoriams išsamią grafinę ataskaitų suvestinę pavogtiems duomenims stebėti ir analizuoti.

Pagrindinės platformos galimybės:

  • Pažeistų prieglobų ir surinktų prisijungimo duomenų matomumas realiuoju laiku
  • Paieškos funkcija efektyviam duomenų filtravimui ir analizei
  • Apibendrinta statistika, kurioje išsamiai aprašomi įgaliojimų tipai ir kiekiai
  • Sistemos metrikos, tokios kaip programos veikimo laikas ir veikimo būsena

Šiuo metu stebima versija „NEXUS Listener V3“ rodo nuolatinį kūrimą ir tobulinimą, o tai rodo brandų ir besivystantį įrankių rinkinį.

Didelės vertės paslapčių atskleidimas: pavojinga duomenų talpykla

Kai kuriais atvejais netinkamai sukonfigūruotos arba neautentifikuotos „NEXUS Listener“ plokštės atskleidė daugybę jautrių prisijungimo duomenų. Tai apima API raktus, susietus su finansinėmis paslaugomis, tokiomis kaip „Stripe“, dirbtinio intelekto platformomis, tokiomis kaip „OpenAI“, „Anthropic“ ir „NVIDIA NIM“, taip pat su ryšio paslaugomis, tokiomis kaip „SendGrid“ ir „Brevo“.

Papildomi paviešinti ištekliai apima „Telegram“ botų žetonus, žiniatinklio kablių paslaptis, „GitHub“ ir „GitLab“ žetonus bei duomenų bazių ryšio eilutes. Šis pažeistų duomenų kiekis žymiai padidina potencialias atakas.

Strateginis poveikis: Visos infrastruktūros ekosistemų kartografavimas

Be individualių prisijungimo duomenų, apibendrinti duomenys suteikia išsamų aukos aplinkos planą. Užpuolikai gauna matomumą apie įdiegtas paslaugas, konfigūracijos modelius, naudojamus debesijos paslaugų teikėjus ir trečiųjų šalių integracijas.

Tokia žvalgyba leidžia vykdyti itin tikslines tolesnes operacijas, įskaitant horizontalią judėjimą, privilegijų eskalavimą, socialinės inžinerijos kampanijas arba prieigos perpardavimą kitiems grėsmės subjektams.

Gynybiniai imperatyvai: rizikos mažinimas ir poveikio ribojimas

Šios kampanijos mastas ir išsamumas pabrėžia aktyvių saugumo priemonių būtinybę. Organizacijos turi teikti pirmenybę griežtam aplinkos auditui ir įgaliojimų valdymo praktikai, kad sumažintų riziką.

Rekomenduojami veiksmai:

  • Mažiausių privilegijų principo įgyvendinimas visose sistemose ir paslaugose
  • Įgalinamas automatinis slaptas nuskaitymas, siekiant aptikti paviešintus prisijungimo duomenis
  • SSH raktų porų pakartotinio naudojimo vengimas skirtingose aplinkose
  • IMDSv2 diegimas visose AWS EC2 instancijose, siekiant apsaugoti prieigą prie metaduomenų
  • Nedelsiant keičiami visi prisijungimo duomenys, jei įtariama, kad jie yra pažeisti.

    • Disciplinuotas prieigos kontrolės ir nuolatinio stebėjimo metodas yra būtinas siekiant apsisaugoti nuo vis labiau automatizuotų ir didelio masto kredencialų rinkimo operacijų.

    Tendencijos

    Pasiekta saugyklos riba – el. pašto sukčiavimas

    Sukčiavimas, Šlamštas
    Netikėti el. laiškai dažnai gali atrodyti įtikinami, tačiau budrumas yra būtinas. Kibernetiniai nusikaltėliai, norėdami manipuliuoti gavėjais ir priversti juos imtis veiksmų be tinkamo patvirtinimo, remiasi skubumu ir baime. Viena iš tokių plačiai paplitusių grėsmių yra el. pašto sukčiavimas „Pasiekta saugyklos riba“ – apgaulinga kampanija, skirta suklaidinti vartotojus, kad jie sąveikautų su...

    Labiausiai žiūrima

    Įkeliama...