概要
Cisco Talosは、世界中の少なくとも766台のサーバーを侵害した「UAT-10608」という重大な資格情報収集作業を発見しました。この攻撃は、Next.jsフレームワークで構築されたWebアプリケーションを標的としています。
脆弱性の詳細
CVE-2025-55182と呼ばれる深刻なリモートコード実行の脆弱性が、React Server Componentsに存在します。クライアントがサーバーエンドポイントにシリアライズされたデータを送信すると、脆弱なコードは適切な検証やクリーニングなしでそれを処理します。
攻撃の手口
攻撃者は自動化されたスキャンツールを使用して、ShodanやCensysなどのサービスを通じて公開されているNext.jsアプリケーションを見つけます。脆弱なターゲットが特定されると、エクスプロイトは自動的に実行されます。
マルチフェーズ収集ツール
攻撃者はサーバーのテンポラリーファイルフォルダに小さなスクリプトをドロップし、インストールプロセスを開始します。この初期スクリプトは、より大きなマルチフェーズ収集ツールをダウンロードして実行します。
収集されたデータの種類
- 環境変数
- Kubernetesサービスアカウントトークン
- シェルコマンド履歴
- AWS、Google Cloud、Microsoft Azureからのメタデータ
- Dockerコンテナのネットワーク構成と公開ポート
NEXUS Listenerダッシュボード
攻撃者はNEXUS Listenerというウェブベースのコマンド&コントロールインターフェースを使用して、収集された資格情報を整理し分析します。
侵害の影響
- 91.5%の侵害されたホストがデータベース資格情報(クリアテキストパスワードを含む)を漏洩しました。
- 78.2%の影響を受けたサーバーがプライベートSSHキーを公開していました。
- Stripe支払いAPIキーを収集したホストは80以上ありました。
- OpenAIプラットフォームやAzureサブスクリプションの資格情報も盗まれました。
- 25%の被害者が一時的なAWSクラウドアクセス資格情報を完全に侵害されました。
組織への対策
Next.jsを使用している組織は、React2Shellの脆弱性を確認し、セキュリティパッチをすぐに適用する必要があります。また、公開されたパスワードやトークンを完全に更新して、さらなるネットワーク侵害を防ぐべきです。
元記事: https://gbhackers.com/attackers-abuse-react2shell-flaw/