Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Cenueshmëria CVE-2025-55182

CVE-2025-55182

Nga MezoCenueshmëria
Përkthe në:

Një fushatë në shkallë të gjerë për mbledhjen e kredencialeve është identifikuar duke përdorur dobësinë React2Shell si vektorin kryesor të infeksionit. Ky operacion synon aplikacionet e cenueshme Next.js, duke shfrytëzuar konkretisht CVE-2025-55182, një e metë kritike me një rezultat CVSS prej 10.0 që prek Komponentët e Serverit React dhe Routerin e Aplikacioneve Next.js. Shfrytëzimi i suksesshëm mundëson ekzekutimin e kodit në distancë, duke u lejuar sulmuesve të fitojnë një pikëmbështetje fillestare brenda sistemeve të synuara.

Studiuesit e sigurisë ia kanë atribuar këtë aktivitet një grumbulli kërcënimesh të gjurmuar si UAT-10608. Fushata ka kompromentuar tashmë të paktën 766 hoste në rajone të shumta gjeografike dhe mjedise cloud, duke demonstruar si shkallë ashtu edhe shtrirje operacionale.

Ndërhyrje e Automatizuar në Shkallë: Synim i Gjerë dhe Pa Dallim

Modeli i sulmit pasqyron teknika shumë të automatizuara të zbulimit dhe shfrytëzimit. Besohet se aktorët kërcënues mbështeten në mjete skanimi në shkallë të gjerë si Shodan, Censys ose skanera të ndërtuar me porosi për të identifikuar vendosjet e Next.js të ekspozuara publikisht dhe të ndjeshme ndaj cenueshmërisë.

Kjo strategji e synimit pa dallim mundëson identifikimin e shpejtë të sistemeve të cenueshme, duke rritur ndjeshëm shkallën e suksesit dhe shkallën e kompromentimit.

Vendosja e Ngarkesës Shumëfazore: Nga Qasja te Mbledhja e të Dhënave

Pas kompromentimit fillestar, vendoset një dropper për të instaluar një strukturë shumëfazore mbledhëse të njohur si NEXUS Listener. Kjo strukturë orkestron skripte të automatizuara të dizajnuara për të nxjerrë të dhëna të ndjeshme nga sistemet e infektuara dhe për t'i nxjerrë ato në një infrastrukturë të centralizuar të Komandës dhe Kontrollit (C2).

Procesi i vjeljes është i gjerë dhe mbledh sistematikisht:

  • Variablat e mjedisit dhe konfigurimet e kohës së ekzekutimit të analizuara nga JSON
  • Çelësat privatë SSH dhe skedarët authorized_keys
  • Historiku i komandave të Shell dhe detajet e procesit të ekzekutimit
  • Shenjat e llogarisë së shërbimit Kubernetes dhe konfigurimet e kontejnerëve Docker
  • Çelësat API, kredencialet e bazës së të dhënave dhe sekretet e shërbimit cloud
  • Kredencialet e përkohshme IAM të marra nëpërmjet shërbimeve të meta-datave në cloud (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Inteligjencë dhe Kontroll i Qendruar

Në thelb të operacionit është NEXUS Listener, një aplikacion i bazuar në internet i mbrojtur me fjalëkalim, i vendosur në infrastrukturën C2 të sulmuesve. Kjo ndërfaqe u ofron operatorëve një panel grafik gjithëpërfshirës për të monitoruar dhe analizuar të dhënat e vjedhura.

Aftësitë kryesore të platformës përfshijnë:

  • Dukshmëri në kohë reale në hostet e kompromentuara dhe kredencialet e mbledhura
  • Funksionaliteti i kërkimit për filtrim dhe analizë efikase të të dhënave
  • Statistikat e agreguara që detajojnë llojet dhe vëllimet e kredencialeve
  • Metrikat e sistemit, të tilla si koha e funksionimit të aplikacionit dhe statusi operativ

Versioni që vëzhgohet aktualisht, NEXUS Listener V3, tregon zhvillim dhe përsosje të vazhdueshme, duke sugjeruar një grup mjetesh të pjekura dhe në zhvillim e sipër.

Zbulimi i sekreteve me vlerë të lartë: Një memorje e rrezikshme e të dhënave

Në disa raste, panelet e dëgjuesve NEXUS të konfiguruar gabimisht ose të paautorizuar kanë ekspozuar një gamë të gjerë kredencialesh të ndjeshme. Këto përfshijnë çelësa API të lidhur me shërbime financiare si Stripe, platforma të inteligjencës artificiale si OpenAI, Anthropic dhe NVIDIA NIM, si dhe shërbime komunikimi duke përfshirë SendGrid dhe Brevo.

Asetet e tjera të ekspozuara përfshijnë token-et e robotëve të Telegram-it, sekretet e webhook-ut, token-et e GitHub dhe GitLab, si dhe vargjet e lidhjes së bazës së të dhënave. Kjo gamë e të dhënave të kompromentuara e amplifikon ndjeshëm potencialin për sulme në rrjedhën e poshtme.

Ndikimi Strategjik: Hartimi i të Gjitha Ekosistemeve të Infrastrukturës

Përtej kredencialeve individuale, të dhënat e agreguara ofrojnë një plan të detajuar të mjediseve të viktimave. Sulmuesit fitojnë dukshmëri në shërbimet e vendosura, modelet e konfigurimit, ofruesit e cloud-it në përdorim dhe integrimet e palëve të treta.

Një inteligjencë e tillë mundëson operacione pasuese shumë të synuara, duke përfshirë lëvizjen anësore, përshkallëzimin e privilegjeve, fushatat e inxhinierisë sociale ose rishitjen e aksesit te aktorë të tjerë kërcënues.

Imperativat mbrojtëse: Zbutja e rrezikut dhe kufizimi i ekspozimit

Shkalla dhe thellësia e kësaj fushate nënvizojnë domosdoshmërinë për masa proaktive sigurie. Organizatat duhet t'i japin përparësi auditimit rigoroz të mjedisit dhe praktikave të menaxhimit të kredencialeve për të zvogëluar ekspozimin.

Veprimet e rekomanduara përfshijnë:

  • Zbatimi i parimit të privilegjit më të vogël në të gjitha sistemet dhe shërbimet
  • Aktivizimi i skanimit sekret të automatizuar për të zbuluar kredencialet e ekspozuara
  • Shmangia e ripërdorimit të çifteve të çelësave SSH në të gjitha mjediset
  • Zbatimi i IMDSv2 në të gjitha instancat AWS EC2 për të mbrojtur aksesin në metadata
  • Rotacioni i menjëhershëm i të gjitha kredencialeve nëse dyshohet për kompromentim

Një qasje e disiplinuar ndaj kontrollit të aksesit dhe monitorimit të vazhdueshëm është thelbësore për t'u mbrojtur nga operacionet gjithnjë e më të automatizuara dhe në shkallë të gjerë të mbledhjes së kredencialeve.

Në trend

Mashtrim me email, i arritur kufiri i ruajtjes

Fishing, Spam
Emailet e papritura shpesh mund të duken bindëse, por vigjilenca është thelbësore. Kriminelët kibernetikë mbështeten te urgjenca dhe frika për të manipuluar marrësit që të ndërmarrin veprime pa verifikimin e duhur. Një kërcënim i tillë i përhapur është mashtrimi me email "Limiti i ruajtjes është arritur", një fushatë mashtruese e projektuar për të mashtruar përdoruesit që të bashkëveprojnë me...

Më e shikuara

Po ngarkohet...