🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão realizando uma campanha em grande escala para roubar credenciais de forma automatizada após explorar o React2Shell (CVE-2025-55182) em aplicativos Next.js vulneráveis.
Pelo menos 766 hosts em vários provedores de nuvem e regiões geográficas foram comprometidos para coletar bancos de dados e credenciais da AWS, chaves privadas SSH, chaves de API, tokens de nuvem e segredos de ambiente.
A operação usa uma estrutura chamada NEXUS Listener e aproveita scripts automatizados para extrair e exfiltrar dados confidenciais de vários aplicativos.
O Cisco Talos atribui a atividade a um cluster de ameaças rastreado como UAT-10608. Os pesquisadores obtiveram acesso a uma instância exposta do NEXUS Listener, permitindo-lhes analisar o tipo de dados coletados de sistemas comprometidos e entender como o aplicativo web funciona.
O painel principal do Nexus ListenerFonte: Cisco Talos
Coleta secreta automatizada
O ataque começa com a verificação automatizada de aplicativos Next.js vulneráveis, que são violados por meio da vulnerabilidade React2Shell. Um script que executa uma rotina multifásica de coleta de credenciais é colocado no diretório temporário padrão.
De acordo com os pesquisadores do Cisco Talos, os dados roubados desta forma incluem:
Variáveis e segredos de ambiente (chaves de API, credenciais de banco de dados, tokens GitHub/GitLab)
Chaves SSH
Credenciais de nuvem (metadados AWS/GCP/Azure, credenciais IAM)
Tokens do Kubernetes
Informações do Docker/contêiner
Histórico de comandos
Dados de processo e tempo de execução
Os dados confidenciais são exfiltrados em pedaços, cada um enviado por meio de uma solicitação HTTP pela porta 8080 para um servidor de comando e controle (C2) executando o componente NEXUS Listener. O invasor recebe então uma visão detalhada dos dados, incluindo pesquisa, filtragem e insights estatÃsticos.
“O aplicativo contém uma lista de diversas estatÃsticas, incluindo o número de hosts comprometidos e o número total de cada tipo de credencial que foi extraÃdo com sucesso desses hosts”, disse Cisco Talos em um relatório esta semana.
"Ele também lista o tempo de atividade do próprio aplicativo. Nesse caso, a estrutura automatizada de exploração e coleta foi capaz de comprometer com sucesso 766 hosts em um perÃodo de 24 horas."
Volume de segredos coletados na campanhaFonte: Cisco Talos
Recomendações de defesa
Os segredos roubados permitem que os invasores controlem contas na nuvem e acessem bancos de dados, sistemas de pagamento e outros serviços, abrindo também a porta para ataques à cadeia de suprimentos. As chaves SSH podem ser usadas para movimento lateral.
A Cisco destaca que os dados comprometidos, incluindo detalhes de identificação pessoal, também expõem as vÃtimas à s consequências regulatórias das violações das leis de privacidade.
Os pesquisadores recomendam que os administradores de sistema apliquem as atualizações de segurança do React2Shell, auditem a exposição de dados do lado do servidor e alternem todas as credenciais imediatamente se houver suspeita de comprometimento.
Além disso, é recomendável aplicar o AWS IMDSv2 e substituir quaisquer chaves SSH reutilizadas. Eles também devem permitir a verificação secreta, implantar proteções WAF/RASP para Next.js e impor privilégios mÃnimos em contêineres e funções de nuvem para limitar o impacto.
Pentesting automatizado cobre apenas 1 de 6 superfÃcies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfÃcies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Pelo menos 766 hosts em vários provedores de nuvem e regiões geográficas foram comprometidos para coletar bancos de dados e credenciais da AWS, chaves privadas SSH, chaves de API, tokens de nuvem e segredos de ambiente.
A operação usa uma estrutura chamada NEXUS Listener e aproveita scripts automatizados para extrair e exfiltrar dados confidenciais de vários aplicativos.
O Cisco Talos atribui a atividade a um cluster de ameaças rastreado como UAT-10608. Os pesquisadores obtiveram acesso a uma instância exposta do NEXUS Listener, permitindo-lhes analisar o tipo de dados coletados de sistemas comprometidos e entender como o aplicativo web funciona.
O painel principal do Nexus ListenerFonte: Cisco Talos
Coleta secreta automatizada
O ataque começa com a verificação automatizada de aplicativos Next.js vulneráveis, que são violados por meio da vulnerabilidade React2Shell. Um script que executa uma rotina multifásica de coleta de credenciais é colocado no diretório temporário padrão.
De acordo com os pesquisadores do Cisco Talos, os dados roubados desta forma incluem:
Variáveis e segredos de ambiente (chaves de API, credenciais de banco de dados, tokens GitHub/GitLab)
Chaves SSH
Credenciais de nuvem (metadados AWS/GCP/Azure, credenciais IAM)
Tokens do Kubernetes
Informações do Docker/contêiner
Histórico de comandos
Dados de processo e tempo de execução
Os dados confidenciais são exfiltrados em pedaços, cada um enviado por meio de uma solicitação HTTP pela porta 8080 para um servidor de comando e controle (C2) executando o componente NEXUS Listener. O invasor recebe então uma visão detalhada dos dados, incluindo pesquisa, filtragem e insights estatÃsticos.
“O aplicativo contém uma lista de diversas estatÃsticas, incluindo o número de hosts comprometidos e o número total de cada tipo de credencial que foi extraÃdo com sucesso desses hosts”, disse Cisco Talos em um relatório esta semana.
"Ele também lista o tempo de atividade do próprio aplicativo. Nesse caso, a estrutura automatizada de exploração e coleta foi capaz de comprometer com sucesso 766 hosts em um perÃodo de 24 horas."
Volume de segredos coletados na campanhaFonte: Cisco Talos
Recomendações de defesa
Os segredos roubados permitem que os invasores controlem contas na nuvem e acessem bancos de dados, sistemas de pagamento e outros serviços, abrindo também a porta para ataques à cadeia de suprimentos. As chaves SSH podem ser usadas para movimento lateral.
A Cisco destaca que os dados comprometidos, incluindo detalhes de identificação pessoal, também expõem as vÃtimas à s consequências regulatórias das violações das leis de privacidade.
Os pesquisadores recomendam que os administradores de sistema apliquem as atualizações de segurança do React2Shell, auditem a exposição de dados do lado do servidor e alternem todas as credenciais imediatamente se houver suspeita de comprometimento.
Além disso, é recomendável aplicar o AWS IMDSv2 e substituir quaisquer chaves SSH reutilizadas. Eles também devem permitir a verificação secreta, implantar proteções WAF/RASP para Next.js e impor privilégios mÃnimos em contêineres e funções de nuvem para limitar o impacto.
Pentesting automatizado cobre apenas 1 de 6 superfÃcies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfÃcies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #hackers #exploram #react2shell #em #campanha #automatizada #de #roubo #de #credenciais
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário