Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Güvenlik Açığı CVE-2025-55182

CVE-2025-55182

Mezo'de Güvenlik Açığı'de
Çevir:

React2Shell güvenlik açığını birincil bulaşma vektörü olarak kullanan büyük ölçekli bir kimlik bilgisi ele geçirme kampanyası tespit edildi. Bu operasyon, özellikle React Sunucu Bileşenlerini ve Next.js Uygulama Yönlendiricisini etkileyen, CVSS puanı 10.0 olan kritik bir güvenlik açığı olan CVE-2025-55182'yi kullanarak savunmasız Next.js uygulamalarını hedef alıyor. Başarılı bir istismar, uzaktan kod yürütülmesine olanak tanıyarak saldırganların hedef sistemlerde ilk adımı atmalarını sağlıyor.

Güvenlik araştırmacıları bu faaliyeti UAT-10608 olarak izlenen bir tehdit kümesine bağladı. Kampanya, birden fazla coğrafi bölge ve bulut ortamında en az 766 sunucuyu tehlikeye atarak hem ölçeğini hem de operasyonel erişimini gösterdi.

Otomatik Saldırılar Geniş Ölçekte: Kapsamlı ve Ayrım Gözetmeyen Hedefleme

Saldırı modeli, yüksek düzeyde otomatikleştirilmiş keşif ve istismar tekniklerini yansıtmaktadır. Tehdit aktörlerinin, güvenlik açığına karşı hassas olan halka açık Next.js dağıtımlarını belirlemek için Shodan, Censys veya özel olarak geliştirilmiş tarayıcılar gibi büyük ölçekli tarama araçlarına güvendikleri düşünülmektedir.

Bu ayrım gözetmeyen hedefleme stratejisi, savunmasız sistemlerin hızlı bir şekilde belirlenmesini sağlayarak, ele geçirme başarı oranını ve kapsamını önemli ölçüde artırır.

Çok Aşamalı Veri Yükü Dağıtımı: Erişimden Veri Toplamaya

İlk güvenlik açığının ardından, NEXUS Listener olarak bilinen çok aşamalı bir veri toplama çerçevesini kurmak için bir dropper devreye alınır. Bu çerçeve, enfekte sistemlerden hassas verileri çıkarmak ve merkezi bir Komuta ve Kontrol (C2) altyapısına sızdırmak için tasarlanmış otomatik komut dosyalarını yönetir.

Hasat süreci kapsamlıdır ve sistematik olarak şunları toplar:

  • Ortam değişkenleri ve JSON olarak ayrıştırılmış çalışma zamanı yapılandırmaları
  • SSH özel anahtarları ve authorized_keys dosyaları
  • Kabuk komut geçmişleri ve çalışan işlem ayrıntıları
  • Kubernetes hizmet hesabı belirteçleri ve Docker kapsayıcı yapılandırmaları
  • API anahtarları, veritabanı kimlik bilgileri ve bulut hizmeti sırları
  • Bulut meta veri hizmetleri (AWS, Google Cloud, Microsoft Azure) aracılığıyla alınan geçici IAM kimlik bilgileri.

NEXUS Listener: Merkezi Zeka ve Kontrol

Operasyonun merkezinde, saldırganların C2 altyapısında barındırılan, parola korumalı web tabanlı bir uygulama olan NEXUS Listener yer alıyor. Bu arayüz, operatörlere çalınan verileri izlemek ve analiz etmek için kapsamlı bir grafiksel kontrol paneli sağlıyor.

Platformun temel yetenekleri şunlardır:

  • Ele geçirilen sunucular ve ele geçirilen kimlik bilgileri hakkında gerçek zamanlı görünürlük.
  • Veri filtreleme ve analizini verimli hale getiren arama işlevi.
  • Kimlik belgesi türlerini ve hacimlerini detaylandıran toplu istatistikler
  • Uygulama çalışma süresi ve operasyonel durum gibi sistem metrikleri

Şu anda gözlemlenen sürüm olan NEXUS Listener V3, devam eden geliştirme ve iyileştirmeyi göstererek olgunlaşmış ve gelişen bir araç setine işaret etmektedir.

Değerli Sırların Açığa Çıkması: Tehlikeli Bir Veri Önbelleği

Bazı durumlarda, yanlış yapılandırılmış veya kimlik doğrulaması yapılmamış NEXUS Listener panelleri, çok çeşitli hassas kimlik bilgilerini açığa çıkarmıştır. Bunlar arasında Stripe gibi finansal hizmetlere, OpenAI, Anthropic ve NVIDIA NIM gibi yapay zeka platformlarına ve SendGrid ve Brevo gibi iletişim hizmetlerine bağlı API anahtarları yer almaktadır.

Açığa çıkan diğer varlıklar arasında Telegram bot token'ları, webhook sırları, GitHub ve GitLab token'ları ve veritabanı bağlantı dizeleri yer alıyor. Bu kadar geniş bir yelpazedeki tehlikeye atılmış veri, sonraki aşamalardaki saldırı potansiyelini önemli ölçüde artırıyor.

Stratejik Etki: Tüm Altyapı Ekosistemlerinin Haritalandırılması

Bireysel kimlik bilgilerinin ötesinde, toplanan veriler kurban ortamlarının ayrıntılı bir planını sunar. Saldırganlar, dağıtılan hizmetlere, yapılandırma kalıplarına, kullanılan bulut sağlayıcılarına ve üçüncü taraf entegrasyonlarına ilişkin görünürlük kazanır.

Bu tür istihbarat, yatay hareket, ayrıcalık yükseltme, sosyal mühendislik kampanyaları veya erişimin diğer tehdit aktörlerine yeniden satılması da dahil olmak üzere, son derece hedefli takip operasyonlarını mümkün kılar.

Savunma Gereksinimleri: Riski Azaltmak ve Maruz Kalmayı Sınırlamak

Bu kampanyanın ölçeği ve kapsamı, proaktif güvenlik önlemlerinin gerekliliğinin altını çizmektedir. Kuruluşlar, riskleri azaltmak için titiz ortam denetimi ve kimlik doğrulama yönetimi uygulamalarına öncelik vermelidir.

Önerilen eylemler şunlardır:

  • Tüm sistem ve hizmetlerde en az ayrıcalık ilkesinin uygulanması
  • Açığa çıkan kimlik bilgilerini tespit etmek için otomatik gizli tarama özelliğini etkinleştirme
  • Farklı ortamlarda SSH anahtar çiftlerinin yeniden kullanılmasından kaçınmak
  • Meta veri erişimini korumak için tüm AWS EC2 örneklerinde IMDSv2'yi zorunlu kılıyoruz.
  • Güvenlik ihlalinden şüphelenilmesi durumunda tüm kimlik bilgilerinin derhal değiştirilmesi.

    • Erişim kontrolüne yönelik disiplinli bir yaklaşım ve sürekli izleme, giderek otomatikleşen ve büyük ölçekli kimlik bilgisi ele geçirme operasyonlarına karşı korunmak için şarttır.

    trend

    Depolama Sınırına Ulaşıldı E-posta Dolandırıcılığı

    Kimlik avı, İstenmeyen e-posta
    Beklenmedik e-postalar çoğu zaman ikna edici görünebilir, ancak dikkatli olmak şarttır. Siber suçlular, alıcıları uygun doğrulama yapmadan harekete geçmeye yönlendirmek için aciliyet ve korkuyu kullanırlar. Bu tür yaygın tehditlerden biri de, kullanıcıları kötü amaçlı veya kar amacı güden içerikle etkileşime girmeye yönlendirmek için tasarlanmış aldatıcı bir kampanya olan 'Depolama Sınırına...

    En çok görüntülenen

    Yükleniyor...