近期,思科Talos团队披露了一起大规模自动化凭证窃取事件。黑客组织UAT-10608利用一个编号为CVE-2025-55182的远程代码执行漏洞(安全社区称之为React2Shell),对暴露在公网的 Next.js 服务器进行了批量扫描与入侵。根据报告,目前已有超过700台服务器被确认失陷,攻击者通过一个名为“NEXUS Listener”的自建面板来集中管理窃取到的海量敏感数据。
漏洞本质:无需认证的RCE
CVE-2025-55182漏洞存在于React Server Components的实现中。攻击者能够通过构造特殊的HTTP请求,在无需任何认证、也无需用户交互的情况下,直接在目标服务器上执行任意代码。由于相关组件对输入数据的校验不足,该漏洞的利用门槛较低,这直接导致了它被自动化攻击工具大规模利用。
自动化攻击流程一览
整个攻击过程高度自动化,具体步骤清晰:
- 扫描探测:攻击者使用自动化工具持续扫描公网,寻找尚未修复此漏洞的Next.js应用实例。
- 漏洞利用:利用React2Shell漏洞投递并执行恶意脚本。
- 信息窃取:恶意脚本在受控服务器上运行后,会遍历文件系统、访问云服务元数据接口(如AWS IMDS)、扫描进程内存,目标明确地提取各类敏感凭证,包括:
- 数据库连接字符串与密码
- SSH私钥
- AWS/Azure/GCP等云平台的访问密钥
- Stripe支付密钥
- GitHub个人访问令牌(PAT)
- 数据回传:将所有窃取到的数据进行加密,然后回传至攻击者控制的命令与控制(C2)服务器。
触目惊心的失窃规模
根据对“NEXUS Listener”控制面板在24小时内数据的分析,失窃规模如下:
- 766台主机被记录为已失陷。
- 超过90% 的失陷主机中,数据库凭证被盗。
- 约80% 的失陷主机中,SSH私钥被提取。
- 大量主机同时失窃了AWS密钥、Stripe活跃密钥、GitHub访问令牌等多种凭证。
可能引发的连锁风险
如此大量的核心凭证泄露,可能引发一系列严重的连锁安全事件:
- 数据泄露:攻击者直接使用数据库凭证连接,可能导致用户数据被批量盗取。
- 内网渗透:利用窃取的SSH私钥,攻击者可进行内网横向移动,进一步控制更多内部资产。
- 云资源劫持:云平台Access Key可能被用于创建资源、窃取数据甚至进行挖矿等非法活动。
- 供应链攻击:GitHub令牌若具有写入权限,攻击者可向合法代码仓库植入后门,构成供应链攻击。
紧急处置与修复建议
如果你的业务使用了Next.js,请立即采取以下措施进行排查和修复:
- 立即升级:尽快将Next.js及相关依赖升级至已修复此漏洞的版本。请密切关注 React 及 Next.js 官方发布的安全公告。
- 凭证轮换:必须全量轮换所有可能已暴露的凭证,包括但不限于:数据库密码、SSH密钥对、云平台Access Key、Stripe密钥、GitHub令牌等。这是一个关键且紧急的步骤。
- 加固云环境:在云服务器上启用IMDSv2(实例元数据服务版本2),并严格限制元数据服务的访问范围,防止脚本通过此接口获取临时凭证。
- 系统排查:彻底排查服务器上是否存在异常的后台进程、计划任务(crontab)或新增的systemd服务,这些可能是攻击者留下的持久化后门。
此次事件再次凸显了框架安全漏洞的广泛影响和自动化攻击的高效性。对于企业安全和开发团队而言,及时关注 安全 动态、保持依赖更新、并建立完善的凭证管理与应急响应流程至关重要。
欢迎前往 云栈社区 的开发者广场,与其他技术同仁交流安全实践,获取最新资讯。
资讯来源:Cisco Talos – UAT-10608利用CVE-2025-55182(React2Shell)批量入侵Next.js服务器事件报告
| 
发表于 3 天前
|
查看: 15|
回复: 0
