Oferta rabatowa na wiele licencji
Baza danych zagrożeń Wrażliwość CVE-2025-55182

CVE-2025-55182

Do Mezo w Wrażliwość
Przetłumacz na:

Zidentyfikowano kampanię zbierania danych uwierzytelniających na dużą skalę, wykorzystującą lukę w zabezpieczeniach React2Shell jako główny wektor infekcji. Operacja ta jest wymierzona w podatne aplikacje Next.js, a w szczególności wykorzystuje lukę CVE-2025-55182 – krytyczną lukę z wynikiem CVSS 10,0, która wpływa na komponenty React Server i router aplikacji Next.js. Skuteczna eksploatacja umożliwia zdalne wykonanie kodu, umożliwiając atakującym uzyskanie wstępnego punktu zaczepienia w atakowanych systemach.

Badacze bezpieczeństwa przypisali tę aktywność klastrowi zagrożeń o numerze UAT-10608. Kampania ta doprowadziła już do naruszenia bezpieczeństwa co najmniej 766 hostów w wielu regionach geograficznych i środowiskach chmurowych, co świadczy zarówno o skali, jak i zasięgu operacyjnym.

Zautomatyzowane włamania na dużą skalę: szerokie i nieograniczone kierowanie

Schemat ataku odzwierciedla wysoce zautomatyzowane techniki rozpoznania i eksploatacji luk. Uważa się, że atakujący wykorzystują narzędzia skanujące na dużą skalę, takie jak Shodan, Censys, lub niestandardowe skanery, aby identyfikować publicznie ujawnione wdrożenia Next.js podatne na lukę.

Taka strategia nieograniczonego atakowania pozwala na szybką identyfikację podatnych na ataki systemów, co znacznie zwiększa wskaźnik sukcesu i skalę zagrożenia.

Wieloetapowe wdrażanie ładunków: od dostępu do gromadzenia danych

Po wstępnym ataku wdrażany jest dropper, który instaluje wielofazową platformę do zbierania danych znaną jako NEXUS Listener. Platforma ta koordynuje zautomatyzowane skrypty, których celem jest wyodrębnienie poufnych danych z zainfekowanych systemów i przekazanie ich do scentralizowanej infrastruktury dowodzenia i kontroli (C2).

Proces zbioru jest rozległy i polega na systematycznym zbieraniu:

  • Zmienne środowiskowe i konfiguracje środowiska wykonawczego analizowane za pomocą JSON
  • Klucze prywatne SSH i pliki author_keys
  • Historie poleceń powłoki i szczegóły uruchomionego procesu
  • Tokeny kont usług Kubernetes i konfiguracje kontenerów Docker
  • Klucze API, dane uwierzytelniające bazy danych i sekrety usług w chmurze
  • Tymczasowe dane uwierzytelniające IAM pobrane za pośrednictwem usług metadanych w chmurze (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: scentralizowana inteligencja i kontrola

Sercem operacji jest NEXUS Listener, chroniona hasłem aplikacja internetowa hostowana w infrastrukturze C2 atakujących. Interfejs ten zapewnia operatorom kompleksowy graficzny panel do monitorowania i analizowania skradzionych danych.

Kluczowe możliwości platformy obejmują:

  • Widoczność w czasie rzeczywistym zagrożonych hostów i zebranych danych uwierzytelniających
  • Funkcja wyszukiwania umożliwiająca efektywne filtrowanie i analizę danych
  • Zagregowane statystyki szczegółowo opisujące typy i wolumeny poświadczeń
  • Metryki systemowe, takie jak dostępność aplikacji i stan operacyjny

Aktualnie obserwowana wersja, NEXUS Listener V3, wskazuje na ciągły rozwój i udoskonalanie, sugerując, że zestaw narzędzi jest dojrzały i ewoluujący.

Ujawnienie cennych sekretów: Niebezpieczny schowek danych

W niektórych przypadkach błędnie skonfigurowane lub nieuwierzytelnione panele NEXUS Listener ujawniły szeroki wachlarz poufnych danych uwierzytelniających. Należą do nich klucze API powiązane z usługami finansowymi, takimi jak Stripe, platformami sztucznej inteligencji, takimi jak OpenAI, Anthropic i NVIDIA NIM, a także usługami komunikacyjnymi, takimi jak SendGrid i Brevo.

Dodatkowe ujawnione zasoby obejmują tokeny botów Telegramu, sekrety webhooków, tokeny GitHub i GitLab oraz ciągi połączeń z bazami danych. Ta różnorodność zagrożonych danych znacznie zwiększa ryzyko ataków z dalszej perspektywy.

Strategiczny wpływ: mapowanie całych ekosystemów infrastruktury

Oprócz indywidualnych danych uwierzytelniających, zagregowane dane zapewniają szczegółowy obraz środowiska ofiar. Atakujący uzyskują wgląd w wdrożone usługi, wzorce konfiguracji, wykorzystywanych dostawców usług chmurowych oraz integracje z rozwiązaniami innych firm.

Tego typu informacje wywiadowcze umożliwiają prowadzenie bardzo ukierunkowanych działań następczych, w tym przemieszczanie się, eskalację uprawnień, kampanie socjotechniczne lub odsprzedaż dostępu innym podmiotom stanowiącym zagrożenie.

Nakazy obronne: łagodzenie ryzyka i ograniczanie narażenia

Skala i zasięg tej kampanii podkreślają konieczność proaktywnych środków bezpieczeństwa. Organizacje muszą priorytetowo traktować rygorystyczne audyty środowiskowe i praktyki zarządzania akredytacjami, aby ograniczyć ryzyko narażenia.

Zalecane działania obejmują:

  • Wdrażanie zasady najmniejszych uprawnień we wszystkich systemach i usługach
  • Włączanie automatycznego skanowania tajnych danych w celu wykrycia ujawnionych danych uwierzytelniających
  • Unikanie ponownego wykorzystywania par kluczy SSH w różnych środowiskach
  • Wymuszanie IMDSv2 na wszystkich instancjach AWS EC2 w celu ochrony dostępu do metadanych
  • Natychmiastowa rotacja wszystkich danych uwierzytelniających w przypadku podejrzenia naruszenia

    • Dyscyplinarne podejście do kontroli dostępu i stałego monitorowania jest niezbędne, aby obronić się przed coraz bardziej zautomatyzowanymi i zakrojonymi na szeroką skalę operacjami gromadzenia danych uwierzytelniających.

    Popularne

    Oszustwo e-mailowe: przekroczono limit pamięci

    Phishing, Spam
    Nieoczekiwane wiadomości e-mail często wydają się przekonujące, ale czujność jest niezbędna. Cyberprzestępcy wykorzystują poczucie pilności i strach, aby zmusić odbiorców do podjęcia działań bez odpowiedniej weryfikacji. Jednym z takich powszechnych zagrożeń jest oszustwo e-mailowe „Osiągnięto limit pamięci” (Storage Limit Reached), zwodnicza kampania mająca na celu nakłonienie użytkowników do...

    Najczęściej oglądane

    Ładowanie...