Multilicenčná zľavová ponuka
Databáza hrozieb Zraniteľnosť CVE-2025-55182

CVE-2025-55182

Do roku Mezo v roku Zraniteľnosť
Preložiť do:

Bola identifikovaná rozsiahla kampaň na zhromažďovanie poverení, ktorá využíva zraniteľnosť React2Shell ako primárny vektor infekcie. Táto operácia sa zameriava na zraniteľné aplikácie Next.js, konkrétne zneužíva CVE-2025-55182, čo je kritická chyba so skóre CVSS 10,0, ktorá postihuje komponenty servera React a smerovač aplikácií Next.js. Úspešné zneužitie umožňuje vzdialené spustenie kódu, čo útočníkom umožňuje získať počiatočnú oporu v cieľových systémoch.

Bezpečnostní výskumníci pripísali túto aktivitu hroziebnému klastru sledovanému ako UAT-10608. Kampaň už ohrozila najmenej 766 hostiteľov vo viacerých geografických oblastiach a cloudových prostrediach, čo dokazuje jej rozsah aj operačný dosah.

Automatizované narušenie vo veľkom meradle: Široké a nerozlišujúce zacielenie

Vzorec útoku odráža vysoko automatizované techniky prieskumu a zneužívania. Predpokladá sa, že útočníci sa spoliehajú na rozsiahle skenovacie nástroje, ako sú Shodan, Censys alebo skenery na mieru, aby identifikovali verejne vystavené nasadenia Next.js náchylné na túto zraniteľnosť.

Táto stratégia nerozlišujúceho zacielenia umožňuje rýchlu identifikáciu zraniteľných systémov, čím výrazne zvyšuje mieru úspešnosti a rozsah kompromitácie.

Viacstupňové nasadenie užitočného zaťaženia: od prístupu až po zber údajov

Po počiatočnej kompromitácii sa nasadí dropper na inštaláciu viacfázového frameworku na zber údajov známeho ako NEXUS Listener. Tento framework riadi automatizované skripty určené na extrahovanie citlivých údajov z infikovaných systémov a ich prenos do centralizovanej infraštruktúry velenia a riadenia (C2).

Proces zberu je rozsiahly a systematicky sa pri ňom zbierajú:

  • Premenné prostredia a konfigurácie runtime analyzované pomocou JSON
  • Súkromné kľúče SSH a súbory authorized_keys
  • História príkazov shellu a podrobnosti o spustených procesoch
  • Tokeny servisných účtov Kubernetes a konfigurácie kontajnerov Docker
  • Kľúče API, prihlasovacie údaje databázy a tajné kľúče cloudovej služby
  • Dočasné prihlasovacie údaje IAM získané prostredníctvom cloudových služieb metadát (AWS, Google Cloud, Microsoft Azure)

Poslucháč NEXUS: Centralizovaná inteligencia a riadenie

Jadrom operácie je NEXUS Listener, webová aplikácia chránená heslom, ktorá je hostovaná na infraštruktúre C2 útočníkov. Toto rozhranie poskytuje operátorom komplexný grafický panel na monitorovanie a analýzu ukradnutých údajov.

Medzi kľúčové funkcie platformy patria:

  • Prehľad o napadnutých hostiteľoch a získaných prihlasovacích údajoch v reálnom čase
  • Funkcia vyhľadávania pre efektívne filtrovanie a analýzu údajov
  • Súhrnné štatistiky s podrobnosťami o typoch a objemoch poverení
  • Systémové metriky, ako je dostupnosť aplikácií a prevádzkový stav

Aktuálne sledovaná verzia, NEXUS Listener V3, naznačuje prebiehajúci vývoj a zdokonaľovanie, čo naznačuje zrelú a vyvíjajúcu sa sadu nástrojov.

Odhalenie cenných tajomstiev: Nebezpečná dátová cache

V niektorých prípadoch nesprávne nakonfigurované alebo neoverené panely NEXUS Listener odhalili širokú škálu citlivých prihlasovacích údajov. Patria sem kľúče API prepojené s finančnými službami ako Stripe, platformami umelej inteligencie ako OpenAI, Anthropic a NVIDIA NIM, ako aj komunikačnými službami vrátane SendGrid a Brevo.

Medzi ďalšie exponované aktíva patria tokeny botov Telegramu, tajné kľúče webhookov, tokeny GitHub a GitLab a reťazce pripojenia k databáze. Táto šírka kompromitovaných údajov výrazne zvyšuje potenciál pre následné útoky.

Strategický vplyv: Mapovanie celých ekosystémov infraštruktúry

Okrem individuálnych prihlasovacích údajov poskytujú agregované údaje podrobný prehľad prostredia obetí. Útočníci získavajú prehľad o nasadených službách, konfiguračných vzoroch, používaných poskytovateľoch cloudu a integráciách tretích strán.

Takéto spravodajské informácie umožňujú vysoko cielené následné operácie vrátane laterálneho presunu, eskalácie privilégií, kampaní sociálneho inžinierstva alebo ďalšieho predaja prístupu iným aktérom hrozby.

Obranné imperatívy: Zmiernenie rizika a obmedzenie expozície

Rozsah a hĺbka tejto kampane podčiarkujú potrebu proaktívnych bezpečnostných opatrení. Organizácie musia uprednostniť prísne audity prostredia a postupy správy poverení, aby znížili vystavenie.

Odporúčané akcie zahŕňajú:

  • Presadzovanie zásady najmenších privilégií vo všetkých systémoch a službách
  • Povolenie automatizovaného tajného skenovania na detekciu odhalených prihlasovacích údajov
  • Zabránenie opätovnému použitiu párov kľúčov SSH v rôznych prostrediach
  • Vynucovanie IMDSv2 na všetkých inštanciách AWS EC2 na ochranu prístupu k metadátam
  • Okamžitá rotácia všetkých prihlasovacích údajov v prípade podozrenia na kompromitáciu

    • Disciplinovaný prístup ku kontrole prístupu a neustálemu monitorovaniu je nevyhnutný na ochranu pred čoraz automatizovanejším a rozsiahlym získavaním poverení.

    Trendy

    Dosiahnutý limit úložiska - podvod s e-mailom

    Phishing, Spam
    Neočakávané e-maily sa často môžu zdať presvedčivé, ale ostražitosť je nevyhnutná. Kyberzločinci sa spoliehajú na naliehavosť a strach, aby manipulovali príjemcov a prinútili ich konať bez riadneho overenia. Jednou z takýchto rozšírených hrozieb je e-mailový podvod s názvom „Dosiahnutý limit úložiska“, čo je klamlivá kampaň navrhnutá tak, aby zavádzala používateľov a prinútila ich interagovať...

    Najviac videné

    Načítava...