Vulnerabilitatea React2Shell exploatată într-o campanie automatizată de sustragere a datelor de autentificare

Persoanele rău intenționate desfășoară o campanie la scară largă pentru a sustrage date de autentificare în mod automat, după ce au exploatat vulnerabilitatea React2Shell (CVE-2025-55182) în aplicațiile Next.js vulnerabile.

Cel puțin 766 de servere de la diverși furnizori de servicii cloud și din diferite zone geografice au fost compromise în scopul colectării datelor de autentificare pentru baze de date și AWS, a cheilor private SSH, a cheilor API, a token-urilor cloud și a informațiilor secrete.

Operațiunea utilizează un framework numit NEXUS Listener și folosește scripturi automatizate pentru a extrage și exfiltra date sensibile din diverse aplicații.

Atacul începe cu o scanare automată a aplicațiilor Next.js vulnerabile, care sunt compromise prin intermediul vulnerabilității React2Shell. Un script care execută o procedură de colectare a datelor de autentificare în mai multe etape este plasat în directorul temporar standard.

Datele sensibile sunt sustrase în porțiuni, fiecare dintre acestea fiind trimisă printr-o cerere HTTP pe portul 8080 către un server de comandă și control (C2) pe care rulează componenta NEXUS Listener. Atacatorul are astfel acces la o vizualizare detaliată a datelor, incluzând funcții de căutare, filtrare și informații statistice.

Datele sustrase permit atacatorilor să preia controlul asupra conturilor din cloud și să acceseze baze de date, sisteme de plăți și alte servicii, deschizând totodată calea către atacuri de tip supply chain. Cheile SSH ar putea fi utilizate pentru atacuri de tip lateral movement.

Specialiștii recomandă administratorilor de sistem să aplice actualizările de securitate pentru React2Shell, să verifice expunerea datelor pe partea de server și să schimbe imediat toate datele de autentificare dacă există suspiciuni de compromitere.

De asemenea, se recomandă implementarea AWS IMDSv2 și înlocuirea oricăror chei SSH reutilizate. De asemenea, aceștia ar trebui să activeze scanarea ascunsă, să implementeze măsuri de protecție WAF/RASP pentru Next.js și să aplice principiul privilegiului minim în ceea ce privește containerele și rolurile din cloud pentru a limita impactul.

Sursă: https://www.bleepingcomputer.com/news/security/hackers-exploit-react2shell-in-automated-credential-theft-campaign/

Vulnerabilitatea React2Shell exploatată într-o campanie automatizată de sustragere a datelor de autentificare

Festivitatea de premiere a participanților la exercițiul CyberMAN25

Exercițiul CyberMAN25

Locked Shields 2025 – exercițiu NATO de apărare cibernetică

Exercițiul NATO de apărare cibernetică Cyber Coalition 2024

Vulnerabilitatea React2Shell exploatată într-o campanie automatizată de sustragere a datelor de autentificare

O nouă vulnerabilitate a FortiClient EMS a fost exploatată în cadrul unor atacuri

Microsoft avertizează asupra unui malware VBS distribuit prin WhatsApp

Microsoft asociază problema din Outlook-ul clasic cu probleme de transmitere a e-mailurilor

Vulnerabilitatea React2Shell exploatată într-o campanie automatizată de sustragere a datelor de autentificare

O nouă vulnerabilitate a FortiClient EMS a fost exploatată în cadrul unor atacuri

Microsoft avertizează asupra unui malware VBS distribuit prin WhatsApp

Microsoft asociază problema din Outlook-ul clasic cu probleme de transmitere a e-mailurilor

Ai mai putea citi