Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Sự dễ bị tổn thương CVE-2025-55182

CVE-2025-55182

Đến năm Mezo năm Sự dễ bị tổn thương
Dịch sang:

Một chiến dịch thu thập thông tin đăng nhập quy mô lớn đã được xác định, lợi dụng lỗ hổng React2Shell làm phương thức lây nhiễm chính. Chiến dịch này nhắm mục tiêu vào các ứng dụng Next.js dễ bị tổn thương, cụ thể là khai thác CVE-2025-55182, một lỗ hổng nghiêm trọng với điểm CVSS là 10.0 ảnh hưởng đến React Server Components và Next.js App Router. Việc khai thác thành công cho phép thực thi mã từ xa, cho phép kẻ tấn công giành được chỗ đứng ban đầu trong các hệ thống mục tiêu.

Các nhà nghiên cứu bảo mật đã quy kết hoạt động này cho một cụm mối đe dọa được theo dõi với mã số UAT-10608. Chiến dịch này đã xâm nhập ít nhất 766 máy chủ trên nhiều khu vực địa lý và môi trường đám mây khác nhau, cho thấy cả quy mô và phạm vi hoạt động.

Xâm nhập tự động quy mô lớn: Nhắm mục tiêu rộng rãi và bừa bãi

Mô hình tấn công phản ánh các kỹ thuật trinh sát và khai thác tự động hóa cao. Các tác nhân đe dọa được cho là dựa vào các công cụ quét quy mô lớn như Shodan, Censys hoặc các công cụ quét tự xây dựng để xác định các triển khai Next.js công khai dễ bị tổn thương bởi lỗ hổng này.

Chiến lược nhắm mục tiêu không phân biệt này cho phép nhanh chóng xác định các hệ thống dễ bị tổn thương, làm tăng đáng kể tỷ lệ thành công và quy mô xâm nhập.

Triển khai tải trọng đa giai đoạn: Từ truy cập đến thu thập dữ liệu

Sau khi xâm nhập ban đầu, một phần mềm phát tán được triển khai để cài đặt một khung thu thập dữ liệu đa giai đoạn có tên là NEXUS Listener. Khung này điều phối các kịch bản tự động được thiết kế để trích xuất dữ liệu nhạy cảm từ các hệ thống bị nhiễm và chuyển chúng đến cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) tập trung.

Quá trình thu hoạch diễn ra rộng rãi và thu thập một cách có hệ thống:

  • Các biến môi trường và cấu hình thời gian chạy được phân tích cú pháp JSON
  • Các khóa riêng SSH và các tệp authorized_keys
  • Lịch sử lệnh shell và chi tiết tiến trình đang chạy
  • Mã thông báo tài khoản dịch vụ Kubernetes và cấu hình vùng chứa Docker
  • Khóa API, thông tin đăng nhập cơ sở dữ liệu và bí mật dịch vụ đám mây
  • Thông tin xác thực IAM tạm thời được lấy thông qua các dịch vụ siêu dữ liệu đám mây (AWS, Google Cloud, Microsoft Azure).

NEXUS Listener: Trí tuệ và Kiểm soát Tập trung

Cốt lõi của chiến dịch là NEXUS Listener, một ứng dụng web được bảo vệ bằng mật khẩu, được lưu trữ trên cơ sở hạ tầng C2 của kẻ tấn công. Giao diện này cung cấp cho người điều hành một bảng điều khiển đồ họa toàn diện để giám sát và phân tích dữ liệu bị đánh cắp.

Các tính năng chính của nền tảng bao gồm:

  • Khả năng hiển thị theo thời gian thực về các máy chủ bị xâm nhập và thông tin đăng nhập bị đánh cắp.
  • Chức năng tìm kiếm giúp lọc và phân tích dữ liệu hiệu quả.
  • Số liệu thống kê tổng hợp chi tiết về các loại chứng chỉ và số lượng.
  • Các chỉ số hệ thống như thời gian hoạt động của ứng dụng và trạng thái vận hành.

Phiên bản hiện tại, NEXUS Listener V3, cho thấy quá trình phát triển và hoàn thiện liên tục, thể hiện một bộ công cụ trưởng thành và không ngừng phát triển.

Lộ thông tin bí mật giá trị cao: Kho dữ liệu nguy hiểm

Trong một số trường hợp, các bảng điều khiển NEXUS Listener bị cấu hình sai hoặc chưa được xác thực đã làm lộ một loạt thông tin đăng nhập nhạy cảm. Chúng bao gồm các khóa API liên kết với các dịch vụ tài chính như Stripe, các nền tảng trí tuệ nhân tạo như OpenAI, Anthropic và NVIDIA NIM, cũng như các dịch vụ truyền thông bao gồm SendGrid và Brevo.

Các tài sản bị lộ thêm bao gồm mã thông báo bot Telegram, mã bí mật webhook, mã thông báo GitHub và GitLab, và chuỗi kết nối cơ sở dữ liệu. Phạm vi dữ liệu bị xâm phạm này làm tăng đáng kể tiềm năng cho các cuộc tấn công tiếp theo.

Tác động chiến lược: Lập bản đồ toàn bộ hệ sinh thái cơ sở hạ tầng

Ngoài thông tin đăng nhập riêng lẻ, dữ liệu tổng hợp cung cấp một bản kế hoạch chi tiết về môi trường của nạn nhân. Kẻ tấn công có được cái nhìn tổng quan về các dịch vụ đã triển khai, các mẫu cấu hình, nhà cung cấp dịch vụ đám mây đang sử dụng và các tích hợp của bên thứ ba.

Thông tin tình báo như vậy cho phép thực hiện các hoạt động tiếp theo có mục tiêu cao, bao gồm di chuyển ngang, leo thang đặc quyền, các chiến dịch kỹ thuật xã hội hoặc bán lại quyền truy cập cho các tác nhân đe dọa khác.

Nguyên tắc phòng thủ: Giảm thiểu rủi ro và hạn chế sự tiếp xúc

Quy mô và phạm vi của chiến dịch này nhấn mạnh sự cần thiết của các biện pháp bảo mật chủ động. Các tổ chức phải ưu tiên việc kiểm tra môi trường nghiêm ngặt và các quy trình quản lý thông tin xác thực để giảm thiểu rủi ro.

Các hành động được khuyến nghị bao gồm:

  • Áp dụng nguyên tắc quyền hạn tối thiểu trên tất cả các hệ thống và dịch vụ.
  • Kích hoạt tính năng quét bí mật tự động để phát hiện thông tin đăng nhập bị lộ.
  • Tránh việc sử dụng lại các cặp khóa SSH giữa các môi trường khác nhau.
  • Áp dụng IMDSv2 trên tất cả các phiên bản AWS EC2 để bảo vệ quyền truy cập siêu dữ liệu.
  • Thay đổi ngay lập tức tất cả thông tin đăng nhập nếu nghi ngờ có sự xâm phạm.

    • Một phương pháp tiếp cận có kỷ luật đối với việc kiểm soát truy cập và giám sát liên tục là điều cần thiết để chống lại các hoạt động thu thập thông tin đăng nhập ngày càng tự động hóa và quy mô lớn.

    xu hướng

    Đã đạt giới hạn dung lượng lưu trữ (email lừa đảo)

    Lừa đảo, Thư rác
    Những email bất ngờ thường trông rất thuyết phục, nhưng sự cảnh giác là điều cần thiết. Tội phạm mạng dựa vào sự khẩn cấp và nỗi sợ hãi để thao túng người nhận thực hiện hành động mà không cần xác minh kỹ lưỡng. Một mối đe dọa phổ biến như vậy là trò lừa đảo email "Đã đạt giới hạn dung lượng lưu trữ", một chiến dịch lừa đảo được thiết kế để đánh lừa người dùng tương tác với nội dung độc hại...

    Xem nhiều nhất

    Đang tải...