Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid CVE-2025-55182

CVE-2025-55182

Tegen Mezo in Kwetsbaarheid
Vertalen naar:

Er is een grootschalige campagne voor het verzamelen van inloggegevens ontdekt, waarbij de kwetsbaarheid in React2Shell als belangrijkste infectievector wordt gebruikt. Deze operatie richt zich op kwetsbare Next.js-applicaties en maakt specifiek gebruik van CVE-2025-55182, een kritieke kwetsbaarheid met een CVSS-score van 10.0 die React Server Components en de Next.js App Router treft. Succesvolle exploitatie maakt het mogelijk om code op afstand uit te voeren, waardoor aanvallers een eerste toegangspunt tot de getroffen systemen kunnen verkrijgen.

Beveiligingsonderzoekers hebben deze activiteit toegeschreven aan een dreigingscluster met de naam UAT-10608. De campagne heeft al minstens 766 hosts in verschillende geografische regio's en cloudomgevingen gecompromitteerd, wat de omvang en het operationele bereik aantoont.

Geautomatiseerde inbraak op grote schaal: brede en willekeurige targeting

Het aanvalspatroon weerspiegelt sterk geautomatiseerde verkennings- en exploitatietechnieken. Er wordt aangenomen dat de aanvallers gebruikmaken van grootschalige scantools zoals Shodan, Censys of zelfontwikkelde scanners om openbaar toegankelijke Next.js-implementaties te identificeren die vatbaar zijn voor de kwetsbaarheid.

Deze niet-selectieve targetingstrategie maakt snelle identificatie van kwetsbare systemen mogelijk, waardoor de slagingskans en de omvang van de inbreuken aanzienlijk toenemen.

Payload-implementatie in meerdere fasen: van toegang tot dataverzameling

Na de eerste inbreuk wordt een dropper ingezet om een meerfasig dataverzamelingsframework te installeren, bekend als NEXUS Listener. Dit framework orkestreert geautomatiseerde scripts die zijn ontworpen om gevoelige gegevens uit geïnfecteerde systemen te halen en door te sturen naar een gecentraliseerde Command-and-Control (C2)-infrastructuur.

Het oogstproces is uitgebreid en verzamelt systematisch:

  • Omgevingsvariabelen en JSON-geparseerde runtimeconfiguraties
  • SSH-privésleutels en authorized_keys-bestanden
  • Shell-opdrachtgeschiedenis en details van actieve processen
  • Kubernetes-serviceaccounttokens en Docker-containerconfiguraties
  • API-sleutels, databasegegevens en geheimen van cloudservices
  • Tijdelijke IAM-referenties verkregen via cloudmetadataservices (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Gecentraliseerde intelligentie en controle

De kern van de operatie wordt gevormd door de NEXUS Listener, een met een wachtwoord beveiligde webapplicatie die wordt gehost op de C2-infrastructuur van de aanvallers. Deze interface biedt beheerders een uitgebreid grafisch dashboard om gestolen gegevens te monitoren en te analyseren.

De belangrijkste mogelijkheden van het platform zijn onder meer:

  • Realtime inzicht in gecompromitteerde hosts en buitgemaakte inloggegevens
  • Zoekfunctie voor efficiënte datafiltering en -analyse.
  • Geaggregeerde statistieken met details over soorten en aantallen diploma's.
  • Systeemstatistieken zoals de beschikbaarheid en operationele status van de applicatie.

De huidige versie, NEXUS Listener V3, duidt op voortdurende ontwikkeling en verfijning, wat suggereert dat het om een volwassen en evoluerende set tools gaat.

Blootstelling van waardevolle geheimen: een gevaarlijke datacache

In sommige gevallen hebben verkeerd geconfigureerde of niet-geauthenticeerde NEXUS Listener-panelen een breed scala aan gevoelige inloggegevens blootgelegd. Het gaat hierbij onder meer om API-sleutels die gekoppeld zijn aan financiële diensten zoals Stripe, platforms voor kunstmatige intelligentie zoals OpenAI, Anthropic en NVIDIA NIM, en communicatiediensten zoals SendGrid en Brevo.

Tot de overige gelekte gegevens behoren Telegram-bottokens, webhook-geheimen, GitHub- en GitLab-tokens en databaseverbindingsreeksen. Deze grote hoeveelheid gecompromitteerde gegevens vergroot de kans op vervolgaanvallen aanzienlijk.

Strategische impact: het in kaart brengen van complete infrastructuurecosystemen

Naast individuele inloggegevens biedt de verzamelde data een gedetailleerd beeld van de omgevingen van de slachtoffers. Aanvallers krijgen inzicht in de geïmplementeerde services, configuratiepatronen, gebruikte cloudproviders en integraties met externe partijen.

Dergelijke inlichtingen maken zeer gerichte vervolgoperaties mogelijk, waaronder laterale verplaatsing, privilege-escalatie, social engineering-campagnes of de wederverkoop van toegang aan andere kwaadwillende actoren.

Defensieve maatregelen: risicobeperking en blootstellingsbeperking

De omvang en diepte van deze campagne onderstrepen de noodzaak van proactieve beveiligingsmaatregelen. Organisaties moeten prioriteit geven aan strenge omgevingsaudits en procedures voor het beheer van inloggegevens om de risico's te beperken.

Aanbevolen acties zijn onder meer:

  • Het principe van minimale bevoegdheden toepassen op alle systemen en diensten.
  • Automatische geheime scans inschakelen om blootgestelde inloggegevens te detecteren.
  • Het hergebruik van SSH-sleutelparen in verschillende omgevingen vermijden.
  • IMDSv2 wordt op alle AWS EC2-instanties afgedwongen om de toegang tot metadata te beschermen.
  • Alle inloggegevens onmiddellijk vervangen als er een vermoeden van een inbreuk bestaat

    • Een gedisciplineerde aanpak van toegangscontrole en continue monitoring is essentieel om ons te beschermen tegen steeds meer geautomatiseerde en grootschalige methoden voor het verzamelen van inloggegevens.

    Trending

    Meest bekeken

    Bezig met laden...