Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Sicherheitsrisiko CVE-2025-55182

CVE-2025-55182

Von Mezo in Sicherheitsrisiko
Übersetzen Sie in:

Eine groß angelegte Kampagne zum Abgreifen von Zugangsdaten wurde identifiziert, die die React2Shell-Schwachstelle als primären Infektionsweg nutzt. Die Operation zielt auf anfällige Next.js-Anwendungen ab und nutzt insbesondere CVE-2025-55182 aus, eine kritische Sicherheitslücke mit einem CVSS-Wert von 10,0, die React Server Components und den Next.js App Router betrifft. Eine erfolgreiche Ausnutzung ermöglicht die Ausführung von Schadcode aus der Ferne und verschafft Angreifern so einen ersten Zugang zu den Zielsystemen.

Sicherheitsforscher ordnen diese Aktivitäten einem Bedrohungscluster mit der Bezeichnung UAT-10608 zu. Die Kampagne hat bereits mindestens 766 Hosts in verschiedenen geografischen Regionen und Cloud-Umgebungen kompromittiert und demonstriert damit sowohl ihr Ausmaß als auch ihre operative Reichweite.

Automatisierte Eindringversuche im großen Stil: Breites und wahlloses Targeting

Das Angriffsmuster deutet auf hochautomatisierte Aufklärungs- und Ausnutzungstechniken hin. Es wird angenommen, dass Angreifer auf groß angelegte Scanning-Tools wie Shodan, Censys oder eigens entwickelte Scanner zurückgreifen, um öffentlich zugängliche Next.js-Installationen zu identifizieren, die anfällig für die Schwachstelle sind.

Diese Strategie des wahllosen Vorgehens ermöglicht die schnelle Identifizierung anfälliger Systeme und erhöht so die Erfolgsquote und das Ausmaß der Kompromittierung erheblich.

Mehrstufige Nutzlastbereitstellung: Vom Zugriff bis zur Datenerfassung

Nach der ersten Kompromittierung wird ein Dropper eingesetzt, um ein mehrstufiges Harvesting-Framework namens NEXUS Listener zu installieren. Dieses Framework orchestriert automatisierte Skripte, die sensible Daten von infizierten Systemen extrahieren und an eine zentrale Command-and-Control-Infrastruktur (C2) exfiltrieren.

Der Ernteprozess ist umfangreich und sammelt systematisch:

  • Umgebungsvariablen und als JSON geparste Laufzeitkonfigurationen
  • SSH-Privatschlüssel und authorized_keys-Dateien
  • Shell-Befehlshistorie und Details zu laufenden Prozessen
  • Kubernetes-Dienstkonto-Tokens und Docker-Container-Konfigurationen
  • API-Schlüssel, Datenbankzugangsdaten und Cloud-Service-Geheimnisse
  • Temporäre IAM-Anmeldeinformationen, die über Cloud-Metadatendienste (AWS, Google Cloud, Microsoft Azure) abgerufen werden

NEXUS Listener: Zentralisierte Aufklärung und Kontrolle

Kernstück der Operation ist der NEXUS Listener, eine passwortgeschützte webbasierte Anwendung, die auf der C2-Infrastruktur der Angreifer gehostet wird. Diese Benutzeroberfläche bietet den Betreibern ein umfassendes grafisches Dashboard zur Überwachung und Analyse gestohlener Daten.

Zu den wichtigsten Funktionen der Plattform gehören:

  • Echtzeit-Einblick in kompromittierte Hosts und erbeutete Zugangsdaten
  • Suchfunktionen für effiziente Datenfilterung und -analyse
  • Aggregierte Statistiken mit detaillierten Angaben zu Anmeldeinformationstypen und -volumina
  • Systemkennzahlen wie Anwendungsverfügbarkeit und Betriebsstatus

Die aktuell beobachtete Version, NEXUS Listener V3, deutet auf eine kontinuierliche Weiterentwicklung und Verfeinerung hin und lässt auf ein ausgereiftes und sich stetig weiterentwickelndes Toolset schließen.

Offenlegung hochsensibler Geheimnisse: Ein gefährlicher Datenspeicher

In einigen Fällen haben falsch konfigurierte oder nicht authentifizierte NEXUS Listener-Panels eine Vielzahl sensibler Zugangsdaten offengelegt. Dazu gehören API-Schlüssel für Finanzdienstleister wie Stripe, KI-Plattformen wie OpenAI, Anthropic und NVIDIA NIM sowie Kommunikationsdienste wie SendGrid und Brevo.

Zu den weiteren offengelegten Daten gehören Telegram-Bot-Token, Webhook-Geheimnisse, GitHub- und GitLab-Token sowie Datenbankverbindungszeichenfolgen. Diese Bandbreite kompromittierter Daten erhöht das Potenzial für Folgeangriffe erheblich.

Strategische Auswirkungen: Kartierung ganzer Infrastruktur-Ökosysteme

Über die individuellen Zugangsdaten hinaus liefern die aggregierten Daten ein detailliertes Abbild der Umgebungen der Opfer. Angreifer erhalten Einblick in eingesetzte Dienste, Konfigurationsmuster, genutzte Cloud-Anbieter und Integrationen von Drittanbietern.

Solche Informationen ermöglichen hochgradig zielgerichtete Folgeoperationen, wie z. B. laterale Bewegungen, Rechteausweitung, Social-Engineering-Kampagnen oder den Weiterverkauf des Zugangs an andere Bedrohungsakteure.

Defensive Imperative: Risikominderung und Begrenzung der Exposition

Das Ausmaß und die Tragweite dieser Kampagne unterstreichen die Notwendigkeit proaktiver Sicherheitsmaßnahmen. Organisationen müssen strengen Umgebungsprüfungen und einem sorgfältigen Zugangsdatenmanagement höchste Priorität einräumen, um das Risiko von Sicherheitslücken zu minimieren.

Zu den empfohlenen Maßnahmen gehören:

  • Durchsetzung des Prinzips der minimalen Berechtigungen in allen Systemen und Diensten
  • Automatisierte Geheimnisprüfung zur Erkennung kompromittierter Zugangsdaten aktivieren
  • Vermeidung der Wiederverwendung von SSH-Schlüsselpaaren in verschiedenen Umgebungen
  • IMDSv2 wird auf allen AWS EC2-Instanzen erzwungen, um den Zugriff auf Metadaten zu schützen.
  • Bei Verdacht auf Kompromittierung sind alle Zugangsdaten umgehend zu ändern.

    • Ein diszipliniertes Vorgehen bei der Zugriffskontrolle und der kontinuierlichen Überwachung ist unerlässlich, um sich gegen zunehmend automatisierte und groß angelegte Zugriffserfassungsoperationen zu verteidigen.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...