Rabatttilbud for flere lisenser
Trusseldatabase Sårbarhet CVE-2025-55182

CVE-2025-55182

Med Mezo i Sårbarhet
Oversett til:

En storstilt kampanje for innsamling av legitimasjon har blitt identifisert og utnytter React2Shell-sårbarheten som sin primær infeksjonsvektor. Denne operasjonen retter seg mot sårbare Next.js-applikasjoner, og utnytter spesielt CVE-2025-55182, en kritisk feil med en CVSS-poengsum på 10.0 som påvirker React Server Components og Next.js App Router. Vellykket utnyttelse muliggjør ekstern kodekjøring, slik at angripere kan få et første fotfeste i målrettede systemer.

Sikkerhetsforskere har tilskrevet denne aktiviteten til en trusselklynge sporet som UAT-10608. Kampanjen har allerede kompromittert minst 766 verter på tvers av flere geografiske regioner og skymiljøer, noe som viser både skala og operasjonell rekkevidde.

Automatisert inntrenging i stor skala: Bred og vilkårlig målretting

Angrepsmønsteret gjenspeiler svært automatiserte rekognoserings- og utnyttelsesteknikker. Trusselaktører antas å være avhengige av storskala skanneverktøy som Shodan, Censys eller spesialbygde skannere for å identifisere offentlig eksponerte Next.js-distribusjoner som er utsatt for sårbarheten.

Denne vilkårlige målrettingsstrategien muliggjør rask identifisering av sårbare systemer, noe som øker suksessraten og omfanget av kompromittering betydelig.

Flertrinns nyttelastdistribusjon: Fra tilgang til datainnsamling

Etter den første kompromitteringen distribueres en dropper for å installere et flerfase-innhøstingsrammeverk kjent som NEXUS Listener. Dette rammeverket orkestrerer automatiserte skript som er utformet for å trekke ut sensitive data fra infiserte systemer og filtrere dem til en sentralisert kommando-og-kontroll (C2)-infrastruktur.

Innhøstingsprosessen er omfattende og samler systematisk inn:

  • Miljøvariabler og JSON-parsede kjøretidskonfigurasjoner
  • SSH private nøkler og authorized_keys-filer
  • Shell-kommandohistorikk og detaljer om kjørende prosesser
  • Kubernetes-tjenestekontotokener og Docker-containerkonfigurasjoner
  • API-nøkler, databaselegitimasjon og hemmeligheter for skytjenester
  • Midlertidige IAM-legitimasjon hentet via skybaserte metadatatjenester (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Sentralisert intelligens og kontroll

Kjernen i operasjonen er NEXUS Listener, en passordbeskyttet nettbasert applikasjon som ligger på angripernes C2-infrastruktur. Dette grensesnittet gir operatørene et omfattende grafisk dashbord for å overvåke og analysere stjålne data.

Viktige funksjoner på plattformen inkluderer:

  • Sanntidsinnsikt i kompromitterte verter og innsamlede legitimasjonsoplysninger
  • Søkefunksjonalitet for effektiv datafiltrering og -analyse
  • Aggregert statistikk som beskriver typer og volumer av legitimasjon
  • Systemmålinger som applikasjonens oppetid og driftsstatus

Den nåværende observerte versjonen, NEXUS Listener V3, indikerer kontinuerlig utvikling og forbedring, noe som antyder et modent og utviklende verktøysett.

Eksponering av verdifulle hemmeligheter: En farlig databuffer

I noen tilfeller har feilkonfigurerte eller uautentiserte NEXUS Listener-paneler avslørt en rekke sensitive påloggingsinformasjoner. Disse inkluderer API-nøkler knyttet til finansielle tjenester som Stripe, kunstig intelligens-plattformer som OpenAI, Anthropic og NVIDIA NIM, samt kommunikasjonstjenester som SendGrid og Brevo.

Ytterligere eksponerte ressurser inkluderer Telegram-bottokener, webhook-hemmeligheter, GitHub- og GitLab-tokener og databasetilkoblingsstrenger. Denne bredden av kompromitterte data forsterker potensialet for nedstrømsangrep betydelig.

Strategisk innvirkning: Kartlegging av hele infrastrukturøkosystemer

Utover individuelle påloggingsinformasjoner gir de aggregerte dataene en detaljert oversikt over offermiljøer. Angripere får innsikt i distribuerte tjenester, konfigurasjonsmønstre, skyleverandører i bruk og tredjepartsintegrasjoner.

Slik etterretning muliggjør svært målrettede oppfølgingsoperasjoner, inkludert lateral bevegelse, privilegiumsøkning, sosial manipulering eller videresalg av tilgang til andre trusselaktører.

Defensive imperativer: Redusere risiko og begrense eksponering

Omfanget og dybden av denne kampanjen understreker behovet for proaktive sikkerhetstiltak. Organisasjoner må prioritere strenge miljørevisjoner og praksiser for legitimasjonshåndtering for å redusere eksponering.

Anbefalte tiltak inkluderer:

  • Håndheve prinsippet om minste privilegium på tvers av alle systemer og tjenester
  • Aktivering av automatisert hemmelig skanning for å oppdage eksponerte legitimasjonsdetaljer
  • Unngå gjenbruk av SSH-nøkkelpar på tvers av miljøer
  • Håndhever IMDSv2 på alle AWS EC2-instanser for å beskytte tilgang til metadata
  • Roterer all legitimasjon umiddelbart ved mistanke om kompromittering

    • En disiplinert tilnærming til tilgangskontroll og kontinuerlig overvåking er avgjørende for å forsvare seg mot stadig mer automatiserte og storskala innhøsting av legitimasjon.

    Trender

    Mest sett

    Laster inn...