Vairāku licenču atlaides piedāvājums
Draudu datu bāze Neaizsargātība CVE-2025-55182

CVE-2025-55182

Līdz Mezo. gadam Neaizsargātība. gadā
Tulkot uz:

Ir identificēta plaša mēroga akreditācijas datu ieguves kampaņa, kurā kā galveno inficēšanas vektoru tiek izmantota React2Shell ievainojamība. Šī operācija ir vērsta pret neaizsargātām Next.js lietojumprogrammām, īpaši izmantojot CVE-2025-55182, kritisku trūkumu ar CVSS vērtējumu 10,0, kas ietekmē React Server komponentus un Next.js lietotņu maršrutētāju. Veiksmīga ievainojamības izmantošana nodrošina attālinātu koda izpildi, ļaujot uzbrucējiem iegūt sākotnējo ietekmi mērķa sistēmās.

Drošības pētnieki šo aktivitāti ir saistījuši ar apdraudējumu klasteri, kas izsekots kā UAT-10608. Kampaņa jau ir apdraudējusi vismaz 766 resursdatorus vairākos ģeogrāfiskos reģionos un mākoņvidēs, demonstrējot gan mērogu, gan operacionālo tvērumu.

Automatizēta ielaušanās plašā mērogā: plaša un neselektīva mērķauditorijas atlasīšana

Uzbrukuma modelis atspoguļo ļoti automatizētas izlūkošanas un izmantošanas metodes. Tiek uzskatīts, ka apdraudējumu veidotāji paļaujas uz liela mēroga skenēšanas rīkiem, piemēram, Shodan, Censys vai pielāgotiem skeneriem, lai identificētu publiski pieejamas Next.js izvietošanas, kas ir pakļautas ievainojamībai.

Šī nekritiskā mērķauditorijas atlases stratēģija ļauj ātri identificēt neaizsargātas sistēmas, ievērojami palielinot veiksmes līmeni un kompromitēšanas apmēru.

Daudzpakāpju lietderīgās slodzes izvietošana: no piekļuves līdz datu ieguvei

Pēc sākotnējās kompromitēšanas tiek izvietots nomešanas rīks, lai instalētu daudzfāžu datu ieguves ietvaru, kas pazīstams kā NEXUS Listener. Šis ietvars vada automatizētus skriptus, kas paredzēti sensitīvu datu ieguvei no inficētām sistēmām un to nosūtīšanai uz centralizētu vadības un kontroles (C2) infrastruktūru.

Ražas novākšanas process ir plašs un sistemātiski savāc:

  • Vides mainīgie un ar JSON parsētas izpildlaika konfigurācijas
  • SSH privātās atslēgas un authorized_keys faili
  • Čaulas komandu vēsture un darbības procesa informācija
  • Kubernetes pakalpojuma konta žetoni un Docker konteineru konfigurācijas
  • API atslēgas, datubāzes akreditācijas dati un mākoņpakalpojumu noslēpumi
  • Pagaidu IAM akreditācijas dati, kas izgūti, izmantojot mākoņa metadatu pakalpojumus (AWS, Google Cloud, Microsoft Azure).

NEXUS klausītājs: centralizēta izlūkošana un kontrole

Operācijas pamatā ir NEXUS Listener — ar paroli aizsargāta tīmekļa lietojumprogramma, kas atrodas uzbrucēju C2 infrastruktūrā. Šī saskarne nodrošina operatoriem visaptverošu grafisko informācijas paneli nozagto datu uzraudzībai un analīzei.

Platformas galvenās iespējas ietver:

  • Reāllaika pārskatāmība par apdraudētiem resursdatoriem un ievāktajiem akreditācijas datiem
  • Meklēšanas funkcionalitāte efektīvai datu filtrēšanai un analīzei
  • Apkopota statistika, kurā detalizēti aprakstīti akreditācijas datu veidi un apjomi
  • Sistēmas rādītāji, piemēram, lietojumprogrammu darbības laiks un darbības statuss

Pašlaik novērotā versija NEXUS Listener V3 norāda uz nepārtrauktu attīstību un pilnveidošanu, kas liecina par nobriedušu un augošu rīku komplektu.

Augstas vērtības noslēpumu atklāšana: bīstama datu kešatmiņa

Dažos gadījumos nepareizi konfigurēti vai neautentificēti NEXUS Listener paneļi ir atklājuši plašu sensitīvu akreditācijas datu klāstu. To skaitā ir API atslēgas, kas saistītas ar finanšu pakalpojumiem, piemēram, Stripe, mākslīgā intelekta platformām, piemēram, OpenAI, Anthropic un NVIDIA NIM, kā arī komunikācijas pakalpojumiem, tostarp SendGrid un Brevo.

Papildu atklāto resursu vidū ir Telegram botu žetoni, tīmekļa hooku noslēpumi, GitHub un GitLab žetoni un datubāzes savienojumu virknes. Šis apdraudēto datu plašums ievērojami palielina lejupējo uzbrukumu potenciālu.

Stratēģiskā ietekme: Visu infrastruktūras ekosistēmu kartēšana

Papildus individuāliem akreditācijas datiem apkopotie dati sniedz detalizētu upuru vides plānu. Uzbrucēji iegūst ieskatu izvietotajos pakalpojumos, konfigurācijas modeļos, izmantotajos mākoņpakalpojumu sniedzējos un trešo pušu integrācijās.

Šāda izlūkošana ļauj veikt ļoti mērķtiecīgas turpmākas operācijas, tostarp horizontālu pārvietošanos, privilēģiju eskalāciju, sociālās inženierijas kampaņas vai piekļuves tālākpārdošanu citiem apdraudējuma dalībniekiem.

Aizsardzības imperatīvi: riska mazināšana un iedarbības ierobežošana

Šīs kampaņas mērogs un dziļums uzsver nepieciešamību pēc proaktīviem drošības pasākumiem. Organizācijām ir jāpiešķir prioritāte stingrai vides audita un akreditācijas datu pārvaldības praksei, lai samazinātu apdraudējumu.

Ieteicamās darbības ietver:

  • Vismazāko privilēģiju principa ieviešana visās sistēmās un pakalpojumos
  • Iespējojot automātisku slepeno skenēšanu, lai atklātu atklātus akreditācijas datus
  • SSH atslēgu pāru atkārtotas izmantošanas novēršana dažādās vidēs
  • IMDSv2 ieviešana visās AWS EC2 instancēs, lai aizsargātu piekļuvi metadatiem
  • Nekavējoties nomainiet visus akreditācijas datus, ja ir aizdomas par kompromitēšanu.

    • Disciplinēta pieeja piekļuves kontrolei un nepārtrauktai uzraudzībai ir būtiska, lai aizsargātos pret arvien automatizētākām un liela mēroga akreditācijas datu ieguves operācijām.

    Tendences

    Sasniegts krātuves limits. E-pasta krāpniecība.

    Pikšķerēšana, Mēstules
    Negaidīti e-pasti bieži vien var šķist pārliecinoši, taču modrība ir būtiska. Kibernoziedznieki paļaujas uz steidzamību un bailēm, lai manipulētu ar saņēmējiem, liekot viņiem rīkoties bez pienācīgas pārbaudes. Viens no šādiem plaši izplatītiem draudiem ir e-pasta krāpniecība “Sasniegts krātuves limits” — maldinoša kampaņa, kuras mērķis ir maldināt lietotājus, lai tie mijiedarbotos ar...

    Visvairāk skatīts

    Notiek ielāde...