Popust za več licenc
Podjetje o grožnjah Ranljivost CVE-2025-55182

CVE-2025-55182

Do leta Mezo leta Ranljivost
Prevedi v:

Ugotovljena je bila obsežna kampanja za pridobivanje poverilnic, ki izkorišča ranljivost React2Shell kot primarni vektor okužbe. Ta operacija cilja na ranljive aplikacije Next.js, zlasti izkorišča CVE-2025-55182, kritično napako z oceno CVSS 10,0, ki vpliva na komponente strežnika React in usmerjevalnik aplikacij Next.js. Uspešna izkoriščanje omogoča oddaljeno izvajanje kode, kar napadalcem omogoča, da pridobijo začetno oporo v ciljnih sistemih.

Varnostni raziskovalci so to aktivnost pripisali skupini groženj, ki je bila označena kot UAT-10608. Kampanja je že ogrozila vsaj 766 gostiteljev v več geografskih regijah in oblačnih okoljih, kar dokazuje tako obseg kot operativni doseg.

Avtomatiziran vdor v velikem obsegu: široko in neselektivno ciljanje

Vzorec napada odraža visoko avtomatizirane tehnike izvidovanja in izkoriščanja. Domneva se, da se akterji grožnje zanašajo na obsežna orodja za skeniranje, kot so Shodan, Censys ali skenerji po meri, da bi prepoznali javno izpostavljene uvedbe Next.js, ki so dovzetne za ranljivost.

Ta strategija neselektivnega ciljanja omogoča hitro prepoznavanje ranljivih sistemov, kar znatno poveča stopnjo uspešnosti in obseg ogrožanja.

Večstopenjska uvedba koristnega tovora: od dostopa do zbiranja podatkov

Po začetni ogroženosti se namesti večfazni sistem za pridobivanje podatkov, imenovan NEXUS Listener. Ta sistem orkestrira avtomatizirane skripte, namenjene pridobivanju občutljivih podatkov iz okuženih sistemov in njihovemu prenosu v centralizirano infrastrukturo vodenja in nadzora (C2).

Postopek žetve je obsežen in sistematično zbira:

  • Spremenljivke okolja in konfiguracije izvajalnega okolja, razčlenjene z JSON
  • Zasebni ključi SSH in datoteke authorized_keys
  • Zgodovine ukazov lupine in podrobnosti o izvajanju procesov
  • Žetoni storitvenega računa Kubernetes in konfiguracije vsebnika Docker
  • Ključi API-ja, poverilnice baze podatkov in skrivnosti storitev v oblaku
  • Začasne poverilnice IAM, pridobljene prek storitev metapodatkov v oblaku (AWS, Google Cloud, Microsoft Azure)

Poslušalec NEXUS: Centralizirana inteligenca in nadzor

V središču operacije je poslušalnik NEXUS, spletna aplikacija, zaščitena z geslom, ki gostuje na infrastrukturi C2 napadalcev. Ta vmesnik operaterjem zagotavlja celovito grafično nadzorno ploščo za spremljanje in analizo ukradenih podatkov.

Ključne zmogljivosti platforme vključujejo:

  • Vpogled v ogrožene gostitelje in pridobljene poverilnice v realnem času
  • Funkcija iskanja za učinkovito filtriranje in analizo podatkov
  • Združena statistika s podrobnostmi o vrstah in obsegu poverilnic
  • Sistemske metrike, kot sta čas delovanja aplikacije in stanje delovanja

Trenutno opazovana različica, NEXUS Listener V3, kaže na nenehen razvoj in izpopolnjevanje, kar nakazuje na zrel in razvijajoč se nabor orodij.

Razkritje dragocenih skrivnosti: Nevaren podatkovni predpomnilnik

V nekaterih primerih so napačno konfigurirane ali nepreverjene plošče poslušalnika NEXUS razkrile široko paleto občutljivih poverilnic. Mednje spadajo ključi API, povezani s finančnimi storitvami, kot je Stripe, platformami umetne inteligence, kot so OpenAI, Anthropic in NVIDIA NIM, ter komunikacijskimi storitvami, vključno s SendGrid in Brevo.

Dodatna izpostavljena sredstva vključujejo žetone botov Telegrama, skrivnosti spletnih kavljarjev, žetone GitHub in GitLab ter nize za povezavo z bazami podatkov. Ta obseg ogroženih podatkov znatno poveča možnost napadov na nižje ravni.

Strateški vpliv: Kartiranje celotnih infrastrukturnih ekosistemov

Poleg individualnih poverilnic združeni podatki zagotavljajo podroben načrt okolja žrtev. Napadalci dobijo vpogled v nameščene storitve, vzorce konfiguracije, uporabljene ponudnike oblaka in integracije tretjih oseb.

Takšne obveščevalne informacije omogočajo visoko ciljno usmerjene nadaljnje operacije, vključno z lateralnim premikanjem, eskalacijo privilegijev, kampanjami socialnega inženiringa ali preprodajo dostopa drugim akterjem grožnje.

Obrambni imperativi: zmanjševanje tveganja in omejevanje izpostavljenosti

Obseg in globina te kampanje poudarjata potrebo po proaktivnih varnostnih ukrepih. Organizacije morajo dati prednost strogim praksam revizije okolja in upravljanja poverilnic, da bi zmanjšale izpostavljenost.

Priporočeni ukrepi vključujejo:

  • Uveljavljanje načela najmanjših privilegijev v vseh sistemih in storitvah
  • Omogočanje avtomatiziranega tajnega skeniranja za odkrivanje izpostavljenih poverilnic
  • Izogibanje ponovni uporabi parov ključev SSH v različnih okoljih
  • Uveljavljanje IMDSv2 na vseh instancah AWS EC2 za zaščito dostopa do metapodatkov
  • Takojšnja zamenjava vseh poverilnic v primeru suma na ogrožanje

    • Discipliniran pristop k nadzoru dostopa in stalnemu spremljanju je bistvenega pomena za zaščito pred vse bolj avtomatiziranimi in obsežnimi operacijami pridobivanja poverilnic.

    V trendu

    Dosežena omejitev shranjevanja - prevara po e-pošti

    Lažno predstavljanje, Neželena pošta
    Nepričakovana e-poštna sporočila se pogosto zdijo prepričljiva, vendar je bistvena budnost. Kibernetski kriminalci se zanašajo na nujnost in strah, da bi manipulirali s prejemniki, da ukrepajo brez ustreznega preverjanja. Ena takšnih razširjenih groženj je e-poštna prevara »Dosežena omejitev shranjevanja«, zavajajoča kampanja, namenjena zavajanju uporabnikov v interakcijo z zlonamerno ali...

    Najbolj gledan

    Nalaganje...