CVE-2025-55182

ரியாக்ட்2ஷெல் (React2Shell) பாதிப்பைத் தனது முதன்மைத் தொற்று ஊடகமாகப் பயன்படுத்தும் ஒரு பெரிய அளவிலான நற்சான்றிதழ் சேகரிப்பு நடவடிக்கை அடையாளம் காணப்பட்டுள்ளது. இந்தச் செயல்பாடு, பாதிப்புக்குள்ளாகக்கூடிய நெக்ஸ்ட்.ஜேஎஸ் (Next.js) செயலிகளைக் குறிவைக்கிறது; குறிப்பாக, ரியாக்ட் சர்வர் காம்பொனென்ட்ஸ் (React Server Components) மற்றும் நெக்ஸ்ட்.ஜேஎஸ் ஆப் ரௌட்டரைப் (Next.js App Router) பாதிக்கும் 10.0 என்ற CVSS மதிப்பெண் கொண்ட ஒரு முக்கியக் குறைபாடான CVE-2025-55182-ஐ இது சுரண்டுகிறது. வெற்றிகரமாகச் சுரண்டுவதன் மூலம் தொலைநிலைக் குறியீடு செயல்படுத்தப்படுகிறது, இது தாக்குபவர்கள் இலக்கு வைக்கப்பட்ட அமைப்புகளுக்குள் ஒரு ஆரம்பகட்ட காலூன்றலை ஏற்படுத்திக்கொள்ள அனுமதிக்கிறது.

பாதுகாப்பு ஆராய்ச்சியாளர்கள் இந்தச் செயல்பாட்டிற்கு, UAT-10608 எனக் கண்காணிக்கப்படும் ஒரு அச்சுறுத்தல் குழுமமே காரணம் என்று கூறியுள்ளனர். இந்தத் தாக்குதல், பல்வேறு புவியியல் பகுதிகள் மற்றும் கிளவுட் சூழல்களில் ஏற்கனவே குறைந்தது 766 ஹோஸ்ட்களைப் பாதித்துள்ளது. இது அதன் அளவையும் செயல்பாட்டு வீச்சையும் நிரூபிக்கிறது.

பெருமளவிலான தானியங்கி ஊடுருவல்: பரந்த மற்றும் பாகுபாடற்ற இலக்குவைப்பு

இந்தத் தாக்குதல் முறை, மிகவும் தானியங்குமயமாக்கப்பட்ட உளவு மற்றும் சுரண்டல் நுட்பங்களைப் பிரதிபலிக்கிறது. இந்த பாதிப்புக்கு உள்ளாகக்கூடிய, பொதுவெளியில் வெளிப்படுத்தப்பட்ட Next.js நிறுவல்களைக் கண்டறிய, அச்சுறுத்தல் செய்பவர்கள் ஷோடான், சென்சிஸ் அல்லது பிரத்யேகமாக உருவாக்கப்பட்ட ஸ்கேனர்கள் போன்ற பெரிய அளவிலான ஸ்கேனிங் கருவிகளைச் சார்ந்திருப்பதாக நம்பப்படுகிறது.

இந்த பாகுபாடற்ற இலக்கு வைக்கும் உத்தியானது, பாதிப்புக்குள்ளாகக்கூடிய அமைப்புகளை விரைவாக அடையாளம் காண உதவுவதோடு, ஊடுருவலின் வெற்றி விகிதத்தையும் அதன் அளவையும் கணிசமாக அதிகரிக்கிறது.

பல-கட்ட பேலோட் நிலைநிறுத்தம்: அணுகல் முதல் தரவு சேகரிப்பு வரை

ஆரம்பகட்ட ஊடுருவலைத் தொடர்ந்து, நெக்ஸஸ் லிசனர் (NEXUS Listener) எனப்படும் பல-கட்ட தரவு சேகரிப்பு கட்டமைப்பை நிறுவ ஒரு டிராப்பர் பயன்படுத்தப்படுகிறது. இந்தக் கட்டமைப்பு, பாதிக்கப்பட்ட கணினிகளிலிருந்து முக்கியமான தரவுகளைப் பிரித்தெடுத்து, அவற்றை ஒரு மையப்படுத்தப்பட்ட கட்டளை மற்றும் கட்டுப்பாட்டு (C2) உள்கட்டமைப்பிற்கு வெளியேற்றுவதற்காக வடிவமைக்கப்பட்ட தானியங்கு ஸ்கிரிப்டுகளை ஒருங்கிணைக்கிறது.

அறுவடை செயல்முறை விரிவானது மற்றும் முறையாக சேகரிக்கப்படுகிறது:

• சுற்றுச்சூழல் மாறிகள் மற்றும் JSON-பகுப்பாய்வு செய்யப்பட்ட இயக்க நேர உள்ளமைவுகள்
• SSH தனிப்பட்ட சாவிகள் மற்றும் அங்கீகரிக்கப்பட்ட சாவிகள் கோப்புகள்
• ஷெல் கட்டளை வரலாறுகள் மற்றும் இயங்கும் செயல்முறை விவரங்கள்
• குபெர்னெட்டஸ் சேவை கணக்கு டோக்கன்கள் மற்றும் டாக்கர் கண்டெய்னர் உள்ளமைவுகள்
• API விசைகள், தரவுத்தள நற்சான்றிதழ்கள் மற்றும் கிளவுட் சேவை இரகசியங்கள்
• கிளவுட் மெட்டாடேட்டா சேவைகள் (AWS, Google Cloud, Microsoft Azure) வழியாகப் பெறப்பட்ட தற்காலிக IAM நற்சான்றுகள்

நெக்ஸஸ் லிசனர்: மையப்படுத்தப்பட்ட நுண்ணறிவு மற்றும் கட்டுப்பாடு

இந்த நடவடிக்கையின் மையத்தில், தாக்குதல் நடத்துபவர்களின் C2 உள்கட்டமைப்பில் நிறுவப்பட்ட, கடவுச்சொல் மூலம் பாதுகாக்கப்படும் இணைய அடிப்படையிலான செயலியான நெக்ஸஸ் லிசனர் (NEXUS Listener) உள்ளது. இந்த இடைமுகம், திருடப்பட்ட தரவுகளைக் கண்காணிக்கவும் பகுப்பாய்வு செய்யவும் இயக்குபவர்களுக்கு ஒரு விரிவான வரைகலை டாஷ்போர்டை வழங்குகிறது.

இந்தத் தளத்தின் முக்கியத் திறன்களில் பின்வருவன அடங்கும்:

• பாதிக்கப்பட்ட ஹோஸ்ட்கள் மற்றும் திருடப்பட்ட நற்சான்றிதழ்கள் குறித்த நிகழ்நேரத் தெரிவுநிலை
• திறமையான தரவு வடிகட்டல் மற்றும் பகுப்பாய்விற்கான தேடல் செயல்பாடு
• சான்றுகளின் வகைகள் மற்றும் அளவுகளை விவரிக்கும் திரட்டப்பட்ட புள்ளிவிவரங்கள்
• பயன்பாடு இயங்கும் நேரம் மற்றும் செயல்பாட்டு நிலை போன்ற கணினி அளவீடுகள்

தற்போது கவனிக்கப்படும் பதிப்பான நெக்ஸஸ் லிசனர் V3, தொடர்ச்சியான மேம்பாடு மற்றும் செம்மைப்படுத்தலைக் குறிப்பதோடு, இது ஒரு முதிர்ச்சியடைந்த மற்றும் வளர்ந்து வரும் கருவித்தொகுப்பையும் சுட்டிக்காட்டுகிறது.

உயர் மதிப்பு இரகசியங்கள் அம்பலமாதல்: ஒரு அபாயகரமான தரவுக் கிடங்கு

சில சமயங்களில், தவறாக உள்ளமைக்கப்பட்ட அல்லது அங்கீகரிக்கப்படாத நெக்ஸஸ் லிசனர் பேனல்கள், பலதரப்பட்ட முக்கியமான சான்றுகளை வெளிப்படுத்தியுள்ளன. இவற்றில், ஸ்ட்ரைப் போன்ற நிதிச் சேவைகள், ஓப்பன்ஏஐ, ஆந்த்ரோபிக் மற்றும் என்விடியா நிம் போன்ற செயற்கை நுண்ணறிவுத் தளங்கள், அத்துடன் செண்ட்கிரிட் மற்றும் ப்ரெவோ உள்ளிட்ட தகவல் தொடர்புச் சேவைகளுடன் தொடர்புடைய ஏபிஐ திறவிகள் அடங்கும்.

கூடுதலாக வெளிப்படுத்தப்பட்ட சொத்துக்களில் டெலிகிராம் பாட் டோக்கன்கள், வெப்ஹூக் சீக்ரெட்ஸ், கிட்ஹப் மற்றும் கிட்லாப் டோக்கன்கள், மற்றும் தரவுத்தள இணைப்புச் சரங்கள் ஆகியவை அடங்கும். இவ்வாறு பரந்த அளவில் சமரசம் செய்யப்பட்ட தரவுகள், பின்தொடர் தாக்குதல்களுக்கான சாத்தியத்தை கணிசமாக அதிகரிக்கின்றன.

மூலோபாய தாக்கம்: முழு உள்கட்டமைப்பு சுற்றுச்சூழல் அமைப்புகளையும் வரைபடமாக்குதல்

தனிப்பட்ட சான்றுகளுக்கு அப்பால், திரட்டப்பட்ட தரவு பாதிக்கப்பட்ட சூழல்களின் விரிவான வரைபடத்தை வழங்குகிறது. தாக்குபவர்கள், செயல்படுத்தப்பட்ட சேவைகள், உள்ளமைவு முறைகள், பயன்பாட்டில் உள்ள கிளவுட் வழங்குநர்கள் மற்றும் மூன்றாம் தரப்பு ஒருங்கிணைப்புகள் ஆகியவற்றைக் காணும் வாய்ப்பைப் பெறுகிறார்கள்.

இத்தகைய உளவுத் தகவலானது, பக்கவாட்டு நகர்வு, சிறப்புரிமை உயர்வு, சமூகப் பொறியியல் பிரச்சாரங்கள் அல்லது பிற அச்சுறுத்தல் தரப்பினருக்கு அணுகலை மறுவிற்பனை செய்தல் உள்ளிட்ட, மிகவும் இலக்கு வைக்கப்பட்ட தொடர் நடவடிக்கைகளைச் செயல்படுத்த உதவுகிறது.

தற்காப்புக் கட்டாயங்கள்: அபாயத்தைக் குறைத்தல் மற்றும் பாதிப்பைக் கட்டுப்படுத்துதல்

இந்தப் பிரச்சாரத்தின் அளவும் ஆழமும், முன்கூட்டிய பாதுகாப்பு நடவடிக்கைகளின் அவசியத்தை வலியுறுத்துகின்றன. பாதிப்பைக் குறைப்பதற்காக, நிறுவனங்கள் கடுமையான சூழல் தணிக்கை மற்றும் நற்சான்றிதழ் மேலாண்மை நடைமுறைகளுக்கு முன்னுரிமை அளிக்க வேண்டும்.

பரிந்துரைக்கப்படும் நடவடிக்கைகள் பின்வருமாறு:

• அனைத்து அமைப்புகள் மற்றும் சேவைகளிலும் குறைந்தபட்ச சிறப்புரிமைக் கொள்கையை அமல்படுத்துதல்

அதிகரித்து வரும் தானியங்கு மற்றும் பெரிய அளவிலான நற்சான்றிதழ் சேகரிப்பு நடவடிக்கைகளுக்கு எதிராகப் பாதுகாத்துக் கொள்ள, அணுகல் கட்டுப்பாடு மற்றும் தொடர்ச்சியான கண்காணிப்பில் ஒரு ஒழுங்குபடுத்தப்பட்ட அணுகுமுறை இன்றியமையாதது.