Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Vulnerabilidade CVE-2025-55182

CVE-2025-55182

Por Mezo em Vulnerabilidade
Traduzir Para:

Foi identificada uma campanha de roubo de credenciais em larga escala que explora a vulnerabilidade React2Shell como principal vetor de infecção. Essa operação tem como alvo aplicações Next.js vulneráveis, explorando especificamente a CVE-2025-55182, uma falha crítica com pontuação CVSS de 10.0 que afeta os componentes React Server e o roteador de aplicativos do Next.js. A exploração bem-sucedida permite a execução remota de código, possibilitando que os atacantes obtenham acesso inicial aos sistemas visados.

Pesquisadores de segurança atribuíram essa atividade a um cluster de ameaças rastreado como UAT-10608. A campanha já comprometeu pelo menos 766 hosts em diversas regiões geográficas e ambientes de nuvem, demonstrando escala e alcance operacional.

Intrusão automatizada em grande escala: direcionamento amplo e indiscriminado

O padrão de ataque reflete técnicas altamente automatizadas de reconhecimento e exploração. Acredita-se que os agentes de ameaças utilizem ferramentas de varredura em larga escala, como Shodan, Censys ou scanners personalizados, para identificar instalações do Next.js expostas publicamente e suscetíveis à vulnerabilidade.

Essa estratégia de direcionamento indiscriminado permite a rápida identificação de sistemas vulneráveis, aumentando significativamente a taxa de sucesso e a escala da invasão.

Implantação de carga útil em múltiplos estágios: do acesso à coleta de dados

Após a invasão inicial, um dropper é implantado para instalar uma estrutura de coleta multifásica conhecida como NEXUS Listener. Essa estrutura orquestra scripts automatizados projetados para extrair dados confidenciais de sistemas infectados e exfiltrá-los para uma infraestrutura centralizada de Comando e Controle (C2).

O processo de colheita é extenso e envolve a coleta sistemática de:

  • Variáveis de ambiente e configurações de tempo de execução analisadas em JSON
  • Arquivos de chaves privadas SSH e authorized_keys
  • Histórico de comandos do shell e detalhes do processo em execução
  • Tokens de conta de serviço do Kubernetes e configurações de contêiner Docker
  • Chaves de API, credenciais de banco de dados e segredos de serviços em nuvem.
  • Credenciais IAM temporárias recuperadas por meio de serviços de metadados em nuvem (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Inteligência e Controle Centralizados

No cerne da operação está o NEXUS Listener, um aplicativo web protegido por senha e hospedado na infraestrutura de comando e controle (C2) dos atacantes. Essa interface fornece aos operadores um painel gráfico completo para monitorar e analisar os dados roubados.

As principais funcionalidades da plataforma incluem:

  • Visibilidade em tempo real de hosts comprometidos e credenciais coletadas.
  • Funcionalidade de busca para filtragem e análise de dados eficientes.
  • Estatísticas agregadas detalhando os tipos e volumes de credenciais.
  • Métricas do sistema, como tempo de atividade do aplicativo e status operacional.

A versão atualmente em observação, NEXUS Listener V3, indica desenvolvimento e aprimoramento contínuos, sugerindo um conjunto de ferramentas maduro e em constante evolução.

Exposição de segredos valiosos: um cache de dados perigoso

Em alguns casos, painéis NEXUS Listener mal configurados ou não autenticados expuseram uma ampla gama de credenciais confidenciais. Isso inclui chaves de API vinculadas a serviços financeiros como Stripe, plataformas de inteligência artificial como OpenAI, Anthropic e NVIDIA NIM, bem como serviços de comunicação como SendGrid e Brevo.

Outros ativos expostos incluem tokens de bots do Telegram, segredos de webhooks, tokens do GitHub e GitLab e strings de conexão de banco de dados. Essa amplitude de dados comprometidos aumenta significativamente o potencial para ataques subsequentes.

Impacto estratégico: Mapeamento de ecossistemas de infraestrutura completos

Além das credenciais individuais, os dados agregados fornecem um panorama detalhado dos ambientes das vítimas. Os atacantes obtêm visibilidade dos serviços implantados, padrões de configuração, provedores de nuvem em uso e integrações de terceiros.

Essas informações permitem operações subsequentes altamente direcionadas, incluindo movimentação lateral, escalonamento de privilégios, campanhas de engenharia social ou a revenda de acesso a outros agentes maliciosos.

Imperativos Defensivos: Mitigando Riscos e Limitando a Exposição

A dimensão e o alcance desta campanha sublinham a necessidade de medidas de segurança proativas. As organizações devem priorizar auditorias rigorosas do ambiente e práticas de gestão de credenciais para reduzir a exposição a riscos.

As ações recomendadas incluem:

  • Garantir a aplicação do princípio do menor privilégio em todos os sistemas e serviços.
  • Habilitar a varredura automática de segredos para detectar credenciais expostas.
  • Evitar a reutilização de pares de chaves SSH em diferentes ambientes.
  • Implementar o IMDSv2 em todas as instâncias EC2 da AWS para proteger o acesso aos metadados.
  • Em caso de suspeita de comprometimento, todas as credenciais devem ser rotacionadas imediatamente.

    • Uma abordagem disciplinada para o controle de acesso e monitoramento contínuo é essencial para se defender contra operações de coleta de credenciais cada vez mais automatizadas e em larga escala.

    Tendendo

    Mais visto

    Carregando...