Rabattoffert för flera licenser
Hotdatabas Sårbarhet CVE-2025-55182

CVE-2025-55182

Med Mezo år Sårbarhet
Översätt till:

En storskalig kampanj för insamling av autentiseringsuppgifter har identifierats och utnyttjar React2Shell-sårbarheten som sin primära infektionsvektor. Denna operation riktar sig mot sårbara Next.js-applikationer, specifikt genom att utnyttja CVE-2025-55182, en kritisk brist med en CVSS-poäng på 10.0 som påverkar React Server Components och Next.js App Router. Lyckad utnyttjande möjliggör fjärrkörning av kod, vilket gör det möjligt för angripare att få ett första fotfäste i riktade system.

Säkerhetsforskare har tillskrivit denna aktivitet ett hotkluster som spårats som UAT-10608. Kampanjen har redan komprometterat minst 766 värdar i flera geografiska regioner och molnmiljöer, vilket visar både skala och operativ räckvidd.

Automatiserad intrång i stor skala: Bred och urskillningslös inriktning

Attackmönstret återspeglar högt automatiserade rekognoserings- och exploateringstekniker. Hotaktörer tros förlita sig på storskaliga skanningsverktyg som Shodan, Censys eller specialbyggda skannrar för att identifiera offentligt exponerade Next.js-distributioner som är sårbara för sårbarheten.

Denna urskillningslösa målinriktningsstrategi möjliggör snabb identifiering av sårbara system, vilket avsevärt ökar framgångsgraden och omfattningen av kompromettering.

Flerstegs nyttolastdistribution: Från åtkomst till datainsamling

Efter den initiala komprometten distribueras en dropper för att installera ett flerfasigt insamlingsramverk som kallas NEXUS Listener. Detta ramverk orkestrerar automatiserade skript utformade för att extrahera känslig data från infekterade system och exfiltrera den till en centraliserad kommando- och kontrollinfrastruktur (C2).

Skördeprocessen är omfattande och insamlas systematiskt:

  • Miljövariabler och JSON-parsade runtime-konfigurationer
  • SSH privata nycklar och authorized_keys-filer
  • Shell-kommandohistorik och detaljer om körprocesser
  • Kubernetes-tjänstkontotokens och Docker-containerkonfigurationer
  • API-nycklar, databasuppgifter och molntjänsthemligheter
  • Tillfälliga IAM-inloggningsuppgifter hämtade via molnmetadatatjänster (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener: Centraliserad intelligens och kontroll

Kärnan i operationen är NEXUS Listener, en lösenordsskyddad webbaserad applikation som finns på angriparnas C2-infrastruktur. Detta gränssnitt ger operatörerna en omfattande grafisk instrumentpanel för att övervaka och analysera stulen data.

Plattformens viktigaste funktioner inkluderar:

  • Realtidsinsyn i komprometterade värdar och insamlade inloggningsuppgifter
  • Sökfunktion för effektiv datafiltrering och analys
  • Aggregerad statistik som specificerar typer och volymer av autentiseringsuppgifter
  • Systemmätvärden som applikationens drifttid och driftsstatus

Den nuvarande versionen, NEXUS Listener V3, indikerar kontinuerlig utveckling och förfining, vilket tyder på en mogen och föränderlig verktygsuppsättning.

Exponering av värdefulla hemligheter: En farlig datacache

I vissa fall har felkonfigurerade eller oautentiserade NEXUS Listener-paneler exponerat en mängd olika känsliga inloggningsuppgifter. Dessa inkluderar API-nycklar kopplade till finansiella tjänster som Stripe, artificiell intelligens-plattformar som OpenAI, Anthropic och NVIDIA NIM, samt kommunikationstjänster inklusive SendGrid och Brevo.

Ytterligare exponerade tillgångar inkluderar Telegram-bottokens, webhook-hemligheter, GitHub- och GitLab-tokens och databasanslutningssträngar. Denna bredd av komprometterad data förstärker avsevärt potentialen för nedströmsattacker.

Strategisk påverkan: Kartläggning av hela infrastrukturekosystem

Utöver individuella inloggningsuppgifter ger den aggregerade informationen en detaljerad ritning över offrets miljöer. Angripare får insyn i distribuerade tjänster, konfigurationsmönster, molnleverantörer som används och tredjepartsintegrationer.

Sådan information möjliggör riktade uppföljningsoperationer, inklusive lateral förflyttning, eskalering av privilegier, social ingenjörskonstkampanjer eller vidareförsäljning av åtkomst till andra hotaktörer.

Defensiva imperativ: Minska risker och begränsa exponering

Omfattningen och djupet av denna kampanj understryker behovet av proaktiva säkerhetsåtgärder. Organisationer måste prioritera rigorösa miljörevisioner och rutiner för hantering av autentiseringsuppgifter för att minska exponeringen.

Rekommenderade åtgärder inkluderar:

  • Genomföra principen om minsta möjliga privilegier i alla system och tjänster
  • Aktivera automatiserad hemlig skanning för att upptäcka exponerade inloggningsuppgifter
  • Undvik återanvändning av SSH-nyckelpar i olika miljöer
  • Tillämpa IMDSv2 på alla AWS EC2-instanser för att skydda åtkomst till metadata
  • Rotera alla inloggningsuppgifter omedelbart om misstanke om kompromettering uppstår

    • En disciplinerad strategi för åtkomstkontroll och kontinuerlig övervakning är avgörande för att försvara sig mot alltmer automatiserade och storskaliga insamlingsoperationer av autentiseringsuppgifter.

    Trendigt

    Mest sedda

    Läser in...