TokyoBlackHatNews

gbhackers.com 4分で読了

攻撃者が React2Shell の脆弱性を悪用して 700 以上の Next.js ホストを侵害

人気のあるNext.js フレームワークで構築された Web アプリケーションを狙った大規模な自動化サイバー攻撃キャンペーンが、機密情報を盗むために積極的に活動しています。

Cisco Talos のサイバーセキュリティ研究者は、「UAT-10608」として追跡されている深刻な認証情報収集操作を発見しました。これは、わずか 24 時間で世界中の少なくとも 766 台のサーバーを侵害しています。

この攻撃の中核は、React Server Components で発見された深刻なリモートコード実行脆弱性である CVE-2025-55182 です。

クライアントが シリアライズされたデータをサーバーエンドポイントに送信すると、脆弱なコードは適切な検証またはサニタイゼーションなしでそれを処理します。

認証が不要なため、攻撃者は悪意のあるペイロードをサーバー環境内で任意のコードを実行させるために直接送信することができます。

UAT-10608 グループはサーバーを手動でハックするのではなく、代わりに自動化されたスキャンツールに依存して Shodan や Censys などのサービスを使用して公開されている Next.js アプリケーションを検索しています。

脆弱なターゲットが特定されると、人間の相互作用なしに自動的にエクスプロイトが起動されます。攻撃者はサーバーの一時ファイル フォルダーに小さなスクリプトを素早く配置して感染プロセスを開始します。

この初期スクリプトはより大きな多段階の収集ツールをダウンロードします。このツールは、侵害されたシステムを系統的にスキャンして機密データを抽出します。

このツールは、環境変数を慎重に抽出し、Kubernetes サービス アカウント トークンを確認し、シェル コマンド履歴をキャプチャするために、非常に具体的なフェーズを通じて実行されます。

個々のフェーズを完了した後、スクリプトは盗まれた情報を静かに攻撃者のサーバーに送り返します。

悪意のあるスクリプトは、AWS、Google Cloud、Microsoft Azure などの大手クラウド プロバイダーからメタデータを積極的に取得します。

Image

さらに、ネットワーク構成と公開ポートを列挙することで、実行中の Docker コンテナを特別に探しています。

この徹底的な偵察により、攻撃者はさらにターゲットを絞った悪用のための内部管理ダッシュボードとデータベースを簡単に見つけることができます。

盗まれたデータの膨大な流入を効率的に管理するために、脅威グループは「NEXUS Listener」という Web ベースのコマンド アンド コントロール インターフェースを使用しています。

Image

このダッシュボードは、攻撃者に収集された認証情報を簡単に検索および分析するための統一されたグラフィカル ユーザー インターフェースを提供します。

通常はパスワードで保護されていますが、研究者は誤って公開されたインスタンスを発見し、真の運用規模を明かしました。

NEXUS Listener ダッシュボードは、キャンペーン中に侵害された Web ホストの正確な数を示し、リアルタイム統計を正確に追跡しています。

盗まれたデータを特定の認証情報カテゴリーに整然と整理し、ハッキング操作自体のアップタイムを正確に追跡しています。

この公開されたダッシュボードは、1 日で 766 個の個別ホストが完全に侵害されたことを確実に確認しました。

深刻なデータ公開

盗まれたデータの量と機密性は、ネットワーク防御者にとって非常に警戒が必要です。

Talos Intelligence によると、侵害されたホストの 91.5% はデータベース認証情報を漏らしており、これには平文パスワードが含まれていました。

さらに、影響を受けたサーバーの 78.2% は秘密鍵を公開しており、攻撃者は本質的に他の接続されたシステムに横方向に移動することができます。

自動化されたスクリプトは、80 以上の異なるホストから稼働中の Stripe 支払い API キーを正常に収集しました。また、非常に機密性の高い GitHub トークン、OpenAI からの人工知能プラットフォーム キー、および重要な Azure サブスクリプション認証情報も正常に盗みました。

さらに、すべての犠牲者のおおよそ 4 分の 1 は、攻撃者によって AWS クラウド アクセス認証情報が完全に侵害されていました。

継続中の UAT-10608 キャンペーンは、最新の Web 開発フレームワークにおけるデシリアライゼーション脆弱性の計り知れない危険性を明らかに示しています。

Next.js を使用している組織は、Web デプロイメントがReact2Shell フローに対して緊急に検証され、セキュリティ パッチを直ちに適用する必要があります。

影響を受けたすべてのシステムは、さらなる壊滅的なネットワーク侵害を防ぐために、公開されたパスワードとトークンを完全にローテーションする必要があります。

翻訳元: https://gbhackers.com/attackers-abuse-react2shell-flaw/

ソース: gbhackers.com
#CVE-2025-55182 #Next.js #React2Shell #UAT-10608 #Webセキュリティ #クラウド認証情報 #サイバー攻撃 #データ漏洩 #リモートコード実行 #認証情報盗難

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚