CVE-2025-55182

React2Shell ਕਮਜ਼ੋਰੀ ਨੂੰ ਇਸਦੇ ਪ੍ਰਾਇਮਰੀ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤਦੇ ਹੋਏ ਇੱਕ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ-ਹਾਰਵੈਸਟਿੰਗ ਮੁਹਿੰਮ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ। ਇਹ ਓਪਰੇਸ਼ਨ ਕਮਜ਼ੋਰ Next.js ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ CVE-2025-55182 ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ, ਜੋ ਕਿ 10.0 ਦੇ CVSS ਸਕੋਰ ਦੇ ਨਾਲ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਨੁਕਸ ਹੈ ਜੋ React ਸਰਵਰ ਕੰਪੋਨੈਂਟਸ ਅਤੇ Next.js ਐਪ ਰਾਊਟਰ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ। ਸਫਲ ਸ਼ੋਸ਼ਣ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਸਿਸਟਮਾਂ ਦੇ ਅੰਦਰ ਸ਼ੁਰੂਆਤੀ ਪੈਰ ਪਕੜ ਸਕਦੇ ਹਨ।

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸ ਗਤੀਵਿਧੀ ਦਾ ਕਾਰਨ UAT-10608 ਵਜੋਂ ਟਰੈਕ ਕੀਤੇ ਗਏ ਇੱਕ ਖ਼ਤਰੇ ਦੇ ਸਮੂਹ ਨੂੰ ਦੱਸਿਆ ਹੈ। ਮੁਹਿੰਮ ਪਹਿਲਾਂ ਹੀ ਕਈ ਭੂਗੋਲਿਕ ਖੇਤਰਾਂ ਅਤੇ ਕਲਾਉਡ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਘੱਟੋ-ਘੱਟ 766 ਮੇਜ਼ਬਾਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰ ਚੁੱਕੀ ਹੈ, ਜੋ ਕਿ ਪੈਮਾਨੇ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਪਹੁੰਚ ਦੋਵਾਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੀ ਹੈ।

ਪੈਮਾਨੇ 'ਤੇ ਸਵੈਚਾਲਿਤ ਘੁਸਪੈਠ: ਵਿਆਪਕ ਅਤੇ ਅੰਨ੍ਹੇਵਾਹ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ

ਹਮਲੇ ਦਾ ਪੈਟਰਨ ਬਹੁਤ ਜ਼ਿਆਦਾ ਸਵੈਚਾਲਿਤ ਖੋਜ ਅਤੇ ਸ਼ੋਸ਼ਣ ਤਕਨੀਕਾਂ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਸਕੈਨਿੰਗ ਟੂਲ ਜਿਵੇਂ ਕਿ ਸ਼ੋਡਨ, ਸੈਂਸਿਸ, ਜਾਂ ਕਸਟਮ-ਬਿਲਟ ਸਕੈਨਰਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ ਤਾਂ ਜੋ ਜਨਤਕ ਤੌਰ 'ਤੇ ਸਾਹਮਣੇ ਆਏ Next.js ਤੈਨਾਤੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਜਾ ਸਕੇ ਜੋ ਕਮਜ਼ੋਰੀ ਲਈ ਸੰਵੇਦਨਸ਼ੀਲ ਹਨ।

ਇਹ ਅੰਨ੍ਹੇਵਾਹ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਰਣਨੀਤੀ ਕਮਜ਼ੋਰ ਪ੍ਰਣਾਲੀਆਂ ਦੀ ਤੇਜ਼ੀ ਨਾਲ ਪਛਾਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਸਫਲਤਾ ਦਰ ਅਤੇ ਸਮਝੌਤਾ ਦੇ ਪੈਮਾਨੇ ਵਿੱਚ ਕਾਫ਼ੀ ਵਾਧਾ ਹੁੰਦਾ ਹੈ।

ਮਲਟੀ-ਸਟੇਜ ਪੇਲੋਡ ਡਿਪਲਾਇਮੈਂਟ: ਪਹੁੰਚ ਤੋਂ ਡਾਟਾ ਹਾਰਵੈਸਟਿੰਗ ਤੱਕ

ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤੇ ਤੋਂ ਬਾਅਦ, ਇੱਕ ਡਰਾਪਰ ਨੂੰ NEXUS Listener ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਮਲਟੀ-ਫੇਜ਼ ਹਾਰਵੈਸਟਿੰਗ ਫਰੇਮਵਰਕ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਲਈ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਫਰੇਮਵਰਕ ਸੰਕਰਮਿਤ ਸਿਸਟਮਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਇੱਕ ਕੇਂਦਰੀਕ੍ਰਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਐਕਸਫਿਲਟਰੇਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਸਵੈਚਾਲਿਤ ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਦਾ ਹੈ।

ਵਾਢੀ ਦੀ ਪ੍ਰਕਿਰਿਆ ਵਿਆਪਕ ਹੈ ਅਤੇ ਯੋਜਨਾਬੱਧ ਢੰਗ ਨਾਲ ਇਕੱਠੀ ਕੀਤੀ ਜਾਂਦੀ ਹੈ:

• ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ ਅਤੇ JSON-ਪਾਰਸ ਕੀਤੇ ਰਨਟਾਈਮ ਸੰਰਚਨਾਵਾਂ
• SSH ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ ਅਤੇ ਅਧਿਕਾਰਤ_ਕੀਜ਼ ਫਾਈਲਾਂ
• ਸ਼ੈੱਲ ਕਮਾਂਡ ਇਤਿਹਾਸ ਅਤੇ ਚੱਲ ਰਹੇ ਪ੍ਰਕਿਰਿਆ ਦੇ ਵੇਰਵੇ
• ਕੁਬਰਨੇਟਸ ਸੇਵਾ ਖਾਤਾ ਟੋਕਨ ਅਤੇ ਡੌਕਰ ਕੰਟੇਨਰ ਸੰਰਚਨਾਵਾਂ
• API ਕੁੰਜੀਆਂ, ਡੇਟਾਬੇਸ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ ਕਲਾਉਡ ਸੇਵਾ ਦੇ ਭੇਦ
• ਕਲਾਉਡ ਮੈਟਾਡੇਟਾ ਸੇਵਾਵਾਂ (AWS, Google ਕਲਾਉਡ, Microsoft Azure) ਰਾਹੀਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਗਏ ਅਸਥਾਈ IAM ਪ੍ਰਮਾਣ ਪੱਤਰ

NEXUS ਲਿਸਨਰ: ਕੇਂਦਰੀਕ੍ਰਿਤ ਬੁੱਧੀ ਅਤੇ ਨਿਯੰਤਰਣ

ਇਸ ਕਾਰਵਾਈ ਦੇ ਮੂਲ ਵਿੱਚ NEXUS Listener ਹੈ, ਜੋ ਕਿ ਹਮਲਾਵਰਾਂ ਦੇ C2 ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਇੱਕ ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ ਵੈੱਬ-ਅਧਾਰਿਤ ਐਪਲੀਕੇਸ਼ਨ ਹੈ। ਇਹ ਇੰਟਰਫੇਸ ਓਪਰੇਟਰਾਂ ਨੂੰ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਦੀ ਨਿਗਰਾਨੀ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਲਈ ਇੱਕ ਵਿਆਪਕ ਗ੍ਰਾਫਿਕਲ ਡੈਸ਼ਬੋਰਡ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਪਲੇਟਫਾਰਮ ਦੀਆਂ ਮੁੱਖ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਹੋਸਟਾਂ ਅਤੇ ਹਾਰਵੈਸਟਡ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਵਿੱਚ ਅਸਲ-ਸਮੇਂ ਦੀ ਦਿੱਖ
• ਕੁਸ਼ਲ ਡੇਟਾ ਫਿਲਟਰਿੰਗ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਲਈ ਖੋਜ ਕਾਰਜਕੁਸ਼ਲਤਾ
• ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀਆਂ ਕਿਸਮਾਂ ਅਤੇ ਮਾਤਰਾਵਾਂ ਦਾ ਵੇਰਵਾ ਦੇਣ ਵਾਲੇ ਇਕੱਠੇ ਕੀਤੇ ਅੰਕੜੇ
• ਸਿਸਟਮ ਮੈਟ੍ਰਿਕਸ ਜਿਵੇਂ ਕਿ ਐਪਲੀਕੇਸ਼ਨ ਅਪਟਾਈਮ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਸਥਿਤੀ

ਵਰਤਮਾਨ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਸੰਸਕਰਣ, NEXUS Listener V3, ਚੱਲ ਰਹੇ ਵਿਕਾਸ ਅਤੇ ਸੁਧਾਈ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਇੱਕ ਪਰਿਪੱਕ ਅਤੇ ਵਿਕਸਤ ਹੋ ਰਹੇ ਟੂਲਸੈੱਟ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ।

ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਰਾਜ਼ਾਂ ਦਾ ਪਰਦਾਫਾਸ਼: ਇੱਕ ਖ਼ਤਰਨਾਕ ਡੇਟਾ ਕੈਸ਼

ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਗਲਤ ਸੰਰਚਿਤ ਜਾਂ ਗੈਰ-ਪ੍ਰਮਾਣਿਤ NEXUS Lisneer ਪੈਨਲਾਂ ਨੇ ਸੰਵੇਦਨਸ਼ੀਲ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ Stripe ਵਰਗੀਆਂ ਵਿੱਤੀ ਸੇਵਾਵਾਂ ਨਾਲ ਜੁੜੀਆਂ API ਕੁੰਜੀਆਂ, OpenAI, Anthropic, ਅਤੇ NVIDIA NIM ਵਰਗੇ ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ ਪਲੇਟਫਾਰਮ, ਅਤੇ ਨਾਲ ਹੀ SendGrid ਅਤੇ Brevo ਸਮੇਤ ਸੰਚਾਰ ਸੇਵਾਵਾਂ ਸ਼ਾਮਲ ਹਨ।

ਵਾਧੂ ਪ੍ਰਗਟ ਕੀਤੀਆਂ ਸੰਪਤੀਆਂ ਵਿੱਚ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ ਟੋਕਨ, ਵੈੱਬਹੁੱਕ ਸੀਕਰੇਟ, ਗਿੱਟਹੱਬ ਅਤੇ ਗਿੱਟਲੈਬ ਟੋਕਨ, ਅਤੇ ਡੇਟਾਬੇਸ ਕਨੈਕਸ਼ਨ ਸਟ੍ਰਿੰਗ ਸ਼ਾਮਲ ਹਨ। ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡੇਟਾ ਦੀ ਇਹ ਵਿਸ਼ਾਲਤਾ ਡਾਊਨਸਟ੍ਰੀਮ ਹਮਲਿਆਂ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਕਾਫ਼ੀ ਵਧਾਉਂਦੀ ਹੈ।

ਰਣਨੀਤਕ ਪ੍ਰਭਾਵ: ਪੂਰੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਵਾਤਾਵਰਣ ਪ੍ਰਣਾਲੀਆਂ ਦੀ ਮੈਪਿੰਗ

ਵਿਅਕਤੀਗਤ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਤੋਂ ਪਰੇ, ਇਕੱਤਰ ਕੀਤਾ ਡੇਟਾ ਪੀੜਤ ਵਾਤਾਵਰਣਾਂ ਦਾ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਬਲੂਪ੍ਰਿੰਟ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਹਮਲਾਵਰ ਤੈਨਾਤ ਸੇਵਾਵਾਂ, ਸੰਰਚਨਾ ਪੈਟਰਨਾਂ, ਵਰਤੋਂ ਵਿੱਚ ਕਲਾਉਡ ਪ੍ਰਦਾਤਾਵਾਂ, ਅਤੇ ਤੀਜੀ-ਧਿਰ ਏਕੀਕਰਨ ਵਿੱਚ ਦ੍ਰਿਸ਼ਟੀ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ।

ਅਜਿਹੀ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾਬੱਧ ਫਾਲੋ-ਆਨ ਓਪਰੇਸ਼ਨਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਪਾਸੇ ਦੀ ਗਤੀ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣਾ, ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਮੁਹਿੰਮਾਂ, ਜਾਂ ਹੋਰ ਖ਼ਤਰੇ ਵਾਲੇ ਕਾਰਕਾਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਮੁੜ ਵਿਕਰੀ ਸ਼ਾਮਲ ਹੈ।

ਰੱਖਿਆਤਮਕ ਜ਼ਰੂਰੀ ਉਪਾਅ: ਜੋਖਮ ਨੂੰ ਘਟਾਉਣਾ ਅਤੇ ਐਕਸਪੋਜਰ ਨੂੰ ਸੀਮਤ ਕਰਨਾ

ਇਸ ਮੁਹਿੰਮ ਦਾ ਪੈਮਾਨਾ ਅਤੇ ਡੂੰਘਾਈ ਸਰਗਰਮ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਸੰਗਠਨਾਂ ਨੂੰ ਐਕਸਪੋਜਰ ਨੂੰ ਘਟਾਉਣ ਲਈ ਸਖ਼ਤ ਵਾਤਾਵਰਣ ਆਡਿਟਿੰਗ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਬੰਧਨ ਅਭਿਆਸਾਂ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ।

ਸਿਫ਼ਾਰਸ਼ ਕੀਤੀਆਂ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਾਰੇ ਸਿਸਟਮਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਵਿੱਚ ਘੱਟੋ-ਘੱਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਦੇ ਸਿਧਾਂਤ ਨੂੰ ਲਾਗੂ ਕਰਨਾ

• ਪ੍ਰਗਟ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਸਵੈਚਲਿਤ ਗੁਪਤ ਸਕੈਨਿੰਗ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ

• ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ SSH ਕੁੰਜੀ ਜੋੜਿਆਂ ਦੀ ਮੁੜ ਵਰਤੋਂ ਤੋਂ ਬਚਣਾ

• ਮੈਟਾਡੇਟਾ ਪਹੁੰਚ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਣ ਲਈ ਸਾਰੇ AWS EC2 ਉਦਾਹਰਣਾਂ 'ਤੇ IMDSv2 ਨੂੰ ਲਾਗੂ ਕਰਨਾ

• ਜੇਕਰ ਸਮਝੌਤਾ ਹੋਣ ਦਾ ਸ਼ੱਕ ਹੈ ਤਾਂ ਸਾਰੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਤੁਰੰਤ ਘੁੰਮਾਉਣਾ

ਵਧਦੀ ਸਵੈਚਾਲਿਤ ਅਤੇ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ ਦੇ ਕਾਰਜਾਂ ਤੋਂ ਬਚਾਅ ਲਈ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਅਤੇ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਲਈ ਇੱਕ ਅਨੁਸ਼ਾਸਿਤ ਪਹੁੰਚ ਜ਼ਰੂਰੀ ਹੈ।