Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Keterdedahan CVE-2025-55182

CVE-2025-55182

Menjelang Mezo pada Keterdedahan
Terjemahkan ke

Satu kempen pengumpulan kelayakan berskala besar telah dikenal pasti yang memanfaatkan kerentanan React2Shell sebagai vektor jangkitan utamanya. Operasi ini menyasarkan aplikasi Next.js yang terdedah, khususnya mengeksploitasi CVE-2025-55182, satu kelemahan kritikal dengan skor CVSS 10.0 yang menjejaskan Komponen Pelayan React dan Penghala Aplikasi Next.js. Eksploitasi yang berjaya membolehkan pelaksanaan kod jarak jauh, membolehkan penyerang mendapat kedudukan awal dalam sistem yang disasarkan.

Penyelidik keselamatan telah mengaitkan aktiviti ini dengan kluster ancaman yang dikesan sebagai UAT-10608. Kempen ini telah menjejaskan sekurang-kurangnya 766 hos merentasi pelbagai wilayah geografi dan persekitaran awan, menunjukkan skala dan jangkauan operasi.

Pencerobohan Automatik pada Skala: Penyasaran Meluas dan Sewenang-wenangnya

Corak serangan mencerminkan teknik peninjauan dan eksploitasi yang sangat automatik. Pelaku ancaman dipercayai bergantung pada alat pengimbasan berskala besar seperti Shodan, Censys atau pengimbas binaan khas untuk mengenal pasti penggunaan Next.js yang terdedah kepada umum dan mudah terdedah kepada kerentanan tersebut.

Strategi penargetan yang sembarangan ini membolehkan pengenalpastian sistem yang terdedah dengan pantas, sekali gus meningkatkan kadar kejayaan dan skala kompromi dengan ketara.

Pelaksanaan Muatan Berbilang Peringkat: Daripada Akses kepada Pengumpulan Data

Berikutan kompromi awal, penitis digunakan untuk memasang rangka kerja penuaian berbilang fasa yang dikenali sebagai NEXUS Listener. Rangka kerja ini mengatur skrip automatik yang direka bentuk untuk mengekstrak data sensitif daripada sistem yang dijangkiti dan mengeluarkannya ke infrastruktur Perintah dan Kawalan (C2) berpusat.

Proses penuaian adalah meluas dan sistematik mengumpul:

  • Pembolehubah persekitaran dan konfigurasi masa jalan yang dihuraikan JSON
  • Kunci peribadi SSH dan fail authorized_keys
  • Sejarah arahan Shell dan butiran proses yang sedang berjalan
  • Token akaun perkhidmatan Kubernetes dan konfigurasi kontena Docker
  • Kekunci API, kelayakan pangkalan data dan rahsia perkhidmatan awan
  • Kelayakan IAM sementara diambil melalui perkhidmatan metadata awan (AWS, Google Cloud, Microsoft Azure)

Pendengar NEXUS: Perisikan dan Kawalan Berpusat

Teras operasi ini ialah NEXUS Listener, aplikasi berasaskan web yang dilindungi kata laluan yang dihoskan pada infrastruktur C2 penyerang. Antara muka ini menyediakan pengendali dengan papan pemuka grafik yang komprehensif untuk memantau dan menganalisis data yang dicuri.

Keupayaan utama platform ini termasuk:

  • Keterlihatan masa nyata ke dalam hos yang terjejas dan kelayakan yang dikumpul
  • Fungsi carian untuk penapisan dan analisis data yang cekap
  • Statistik agregat yang memperincikan jenis dan jumlah kelayakan
  • Metrik sistem seperti masa operasi aplikasi dan status operasi

Versi yang sedang diperhatikan, NEXUS Listener V3, menunjukkan pembangunan dan penambahbaikan yang berterusan, mencadangkan set peralatan yang matang dan berkembang.

Pendedahan Rahsia Bernilai Tinggi: Cache Data Berbahaya

Dalam beberapa keadaan, panel NEXUS Listener yang salah konfigurasi atau tidak disahkan telah mendedahkan pelbagai kelayakan sensitif. Ini termasuk kunci API yang dikaitkan dengan perkhidmatan kewangan seperti Stripe, platform kecerdasan buatan seperti OpenAI, Anthropic dan NVIDIA NIM, serta perkhidmatan komunikasi termasuk SendGrid dan Brevo.

Aset tambahan yang terdedah termasuk token bot Telegram, rahsia webhook, token GitHub dan GitLab, dan rentetan sambungan pangkalan data. Keluasan data yang dikompromi ini meningkatkan potensi serangan hiliran dengan ketara.

Impak Strategik: Pemetaan Seluruh Ekosistem Infrastruktur

Selain kelayakan individu, data agregat menyediakan pelan tindakan terperinci tentang persekitaran mangsa. Penyerang mendapat keterlihatan tentang perkhidmatan yang digunakan, corak konfigurasi, penyedia awan yang digunakan dan integrasi pihak ketiga.

Kecerdasan sedemikian membolehkan operasi susulan yang sangat disasarkan, termasuk pergerakan lateral, peningkatan keistimewaan, kempen kejuruteraan sosial atau penjualan semula akses kepada pelaku ancaman lain.

Imperatif Pertahanan: Mengurangkan Risiko dan Mengehadkan Pendedahan

Skala dan kedalaman kempen ini menggariskan keperluan untuk langkah-langkah keselamatan proaktif. Organisasi mesti mengutamakan pengauditan persekitaran dan amalan pengurusan kelayakan yang ketat untuk mengurangkan pendedahan.

Tindakan yang disyorkan termasuk:

  • Menguatkuasakan prinsip keistimewaan paling minimum merentasi semua sistem dan perkhidmatan
  • Mendayakan pengimbasan rahsia automatik untuk mengesan kelayakan yang terdedah
  • Mengelakkan penggunaan semula pasangan kunci SSH merentasi persekitaran
  • Menguatkuasakan IMDSv2 pada semua contoh AWS EC2 untuk melindungi akses metadata
  • Menggiliran semua kelayakan dengan segera jika disyaki terdapat pencerobohan

    • Pendekatan yang berdisiplin terhadap kawalan akses dan pemantauan berterusan adalah penting untuk mempertahankan diri daripada operasi penuaian kelayakan yang semakin automatik dan berskala besar.

    Trending

    Paling banyak dilihat

    Memuatkan...