Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Vulnerabilitate CVE-2025-55182

CVE-2025-55182

Până în Mezo în Vulnerabilitate
Tradu in:

O campanie de recoltare a credențialelor la scară largă a fost identificată, utilizând vulnerabilitatea React2Shell ca principal vector de infecție. Această operațiune vizează aplicațiile vulnerabile Next.js, exploatând în special CVE-2025-55182, o eroare critică cu un scor CVSS de 10.0 care afectează componentele serverului React și routerul de aplicații Next.js. Exploatarea cu succes permite executarea de cod la distanță, permițând atacatorilor să obțină un punct de sprijin inițial în sistemele vizate.

Cercetătorii în domeniul securității au atribuit această activitate unui cluster de amenințări urmărit ca UAT-10608. Campania a compromis deja cel puțin 766 de gazde în mai multe regiuni geografice și medii cloud, demonstrând atât amploarea, cât și acoperirea operațională.

Intruziune automată la scară largă: direcționare largă și nediscriminatorie

Modelul de atac reflectă tehnici de recunoaștere și exploatare extrem de automatizate. Se crede că actorii amenințători se bazează pe instrumente de scanare la scară largă, cum ar fi Shodan, Censys sau scanere personalizate, pentru a identifica implementările Next.js expuse publicului, susceptibile la vulnerabilitate.

Această strategie de direcționare nediscriminatorie permite identificarea rapidă a sistemelor vulnerabile, crescând semnificativ rata de succes și amploarea compromiterii.

Implementarea sarcinii utile în mai multe etape: de la acces la recoltarea datelor

După compromiterea inițială, se implementează un dropper pentru a instala un framework de harvesting multifazic, cunoscut sub numele de NEXUS Listener. Acest framework orchestrează scripturi automate concepute pentru a extrage date sensibile din sistemele infectate și a le exfiltra către o infrastructură centralizată de Comandă și Control (C2).

Procesul de recoltare este extins și colectează sistematic:

  • Variabile de mediu și configurații de execuție analizate prin JSON
  • Chei private SSH și fișiere authorized_keys
  • Istoricul comenzilor shell și detaliile proceselor care rulează
  • Configurații de token-uri pentru conturile de servicii Kubernetes și containere Docker
  • Chei API, acreditări ale bazei de date și secrete ale serviciilor cloud
  • Acreditări IAM temporare recuperate prin intermediul serviciilor de metadate în cloud (AWS, Google Cloud, Microsoft Azure)

Ascultător NEXUS: Inteligență și control centralizat

În centrul operațiunii se află NEXUS Listener, o aplicație web protejată prin parolă, găzduită pe infrastructura C2 a atacatorilor. Această interfață oferă operatorilor un tablou de bord grafic complet pentru monitorizarea și analizarea datelor furate.

Printre principalele capacități ale platformei se numără:

  • Vizibilitate în timp real asupra gazdelor compromise și a acreditărilor colectate
  • Funcționalitate de căutare pentru filtrarea și analiza eficientă a datelor
  • Statistici agregate care detaliază tipurile și volumele de acreditări
  • Indicatori de sistem, cum ar fi timpul de funcționare al aplicației și starea operațională

Versiunea observată în prezent, NEXUS Listener V3, indică o dezvoltare și o rafinare continuă, sugerând un set de instrumente matur și în continuă evoluție.

Expunerea secretelor de mare valoare: o memorie cache de date periculoasă

În unele cazuri, panourile NEXUS Listener configurate greșit sau neautentificate au expus o gamă largă de acreditări sensibile. Acestea includ chei API legate de servicii financiare precum Stripe, platforme de inteligență artificială precum OpenAI, Anthropic și NVIDIA NIM, precum și servicii de comunicare precum SendGrid și Brevo.

Printre activele expuse suplimentare se numără token-uri de bot Telegram, secrete webhook, token-uri GitHub și GitLab și șiruri de conexiune la baze de date. Această gamă largă de date compromise amplifică semnificativ potențialul atacurilor downstream.

Impact strategic: Cartografierea întregului ecosistem de infrastructură

Dincolo de acreditările individuale, datele agregate oferă o imagine detaliată a mediilor victimelor. Atacatorii obțin vizibilitate asupra serviciilor implementate, modelelor de configurare, furnizorilor de cloud utilizați și integrărilor cu terți.

Astfel de informații permit operațiuni ulterioare extrem de bine direcționate, inclusiv mișcare laterală, escaladarea privilegiilor, campanii de inginerie socială sau revânzarea accesului către alți actori amenințători.

Imperative defensive: atenuarea riscului și limitarea expunerii

Amploarea și amploarea acestei campanii subliniază necesitatea unor măsuri proactive de securitate. Organizațiile trebuie să acorde prioritate auditării riguroase a mediului și practicilor de gestionare a acreditărilor pentru a reduce expunerea.

Acțiunile recomandate includ:

  • Aplicarea principiului privilegiilor minime în toate sistemele și serviciile
  • Activarea scanării automate a secretelor pentru detectarea acreditărilor expuse
  • Evitarea reutilizării perechilor de chei SSH în diferite medii
  • Implementarea IMDSv2 pe toate instanțele AWS EC2 pentru a proteja accesul la metadate
  • Rotirea imediată a tuturor acreditărilor dacă se suspectează compromiterea acestora

    • O abordare disciplinată a controlului accesului și a monitorizării continue este esențială pentru a ne apăra împotriva operațiunilor de colectare a acreditărilor din ce în ce mai automatizate și la scară largă.

    Trending

    Înșelătorie prin e-mail cu atinsă limita de stocare

    phishing, Spam
    E-mailurile neașteptate pot părea adesea convingătoare, dar vigilența este esențială. Infractorii cibernetici se bazează pe urgență și frică pentru a manipula destinatarii să ia măsuri fără o verificare adecvată. O astfel de amenințare răspândită este escrocheria prin e-mailuri „Limita de stocare atinsă”, o campanie înșelătoare concepută pentru a induce în eroare utilizatorii să interacționeze...

    Cele mai văzute

    Se încarcă...