Devis de remise multi-licences
Données concernant les menaces Vulnérabilité CVE-2025-55182

CVE-2025-55182

Par Mezo en Vulnérabilité
Se traduisent par :

Une vaste campagne de vol d'identifiants a été identifiée, exploitant la vulnérabilité React2Shell comme principal vecteur d'infection. Cette opération cible les applications Next.js vulnérables, et plus précisément la faille critique CVE-2025-55182 (score CVSS de 10,0) qui affecte les composants serveur React et le routeur d'applications Next.js. L'exploitation réussie de cette vulnérabilité permet l'exécution de code à distance, offrant ainsi aux attaquants la possibilité d'obtenir un accès initial aux systèmes ciblés.

Des chercheurs en sécurité ont attribué cette activité à un groupe de menaces identifié sous le nom de UAT-10608. La campagne a déjà compromis au moins 766 hôtes dans plusieurs régions géographiques et environnements cloud, démontrant ainsi son ampleur et sa portée opérationnelle.

Intrusion automatisée à grande échelle : ciblage large et indiscriminé

Le mode opératoire de l'attaque révèle des techniques de reconnaissance et d'exploitation hautement automatisées. Les acteurs malveillants utiliseraient des outils d'analyse à grande échelle tels que Shodan, Censys ou des scanners personnalisés pour identifier les déploiements Next.js exposés publiquement et vulnérables à cette faille.

Cette stratégie de ciblage indiscriminé permet une identification rapide des systèmes vulnérables, augmentant considérablement le taux de réussite et l'ampleur des compromissions.

Déploiement de charge utile en plusieurs étapes : de l’accès à la collecte des données

Suite à une compromission initiale, un programme d'installation est déployé pour installer un système de collecte de données en plusieurs phases appelé NEXUS Listener. Ce système orchestre des scripts automatisés conçus pour extraire des données sensibles des systèmes infectés et les exfiltrer vers une infrastructure de commande et de contrôle (C2) centralisée.

Le processus de récolte est extensif et collecte systématiquement :

  • Variables d'environnement et configurations d'exécution analysées au format JSON
  • fichiers de clés privées SSH et de clés autorisées
  • Historique des commandes shell et détails des processus en cours d'exécution
  • jetons de compte de service Kubernetes et configurations de conteneurs Docker
  • Clés API, identifiants de base de données et secrets des services cloud
  • Identifiants IAM temporaires récupérés via les services de métadonnées cloud (AWS, Google Cloud, Microsoft Azure)

NEXUS Listener : Intelligence et contrôle centralisés

Au cœur de l'opération se trouve NEXUS Listener, une application web protégée par mot de passe et hébergée sur l'infrastructure C2 des attaquants. Cette interface offre aux opérateurs un tableau de bord graphique complet pour surveiller et analyser les données volées.

Les principales fonctionnalités de la plateforme sont les suivantes :

  • Visibilité en temps réel sur les hôtes compromis et les identifiants collectés
  • Fonctionnalité de recherche pour un filtrage et une analyse efficaces des données
  • Statistiques agrégées détaillant les types et les volumes de titres d'identité
  • Métriques système telles que la disponibilité et l'état opérationnel des applications

La version actuellement observée, NEXUS Listener V3, témoigne d'un développement et d'un perfectionnement continus, suggérant un ensemble d'outils mature et évolutif.

Divulgation de secrets de grande valeur : un dangereux stock de données

Dans certains cas, des panneaux NEXUS Listener mal configurés ou non authentifiés ont exposé un grand nombre d'identifiants sensibles. Il s'agit notamment de clés API liées à des services financiers comme Stripe, à des plateformes d'intelligence artificielle telles qu'OpenAI, Anthropic et NVIDIA NIM, ainsi qu'à des services de communication comme SendGrid et Brevo.

Parmi les autres ressources exposées figurent les jetons d'authentification des bots Telegram, les secrets des webhooks, les jetons GitHub et GitLab, ainsi que les chaînes de connexion aux bases de données. Cette étendue de données compromises accroît considérablement le risque d'attaques en aval.

Impact stratégique : Cartographie des écosystèmes d'infrastructures complets

Au-delà des identifiants individuels, les données agrégées offrent un aperçu détaillé des environnements des victimes. Les attaquants obtiennent ainsi une visibilité sur les services déployés, les modèles de configuration, les fournisseurs de cloud utilisés et les intégrations tierces.

Ces renseignements permettent de mener des opérations de suivi très ciblées, notamment des déplacements latéraux, des élévations de privilèges, des campagnes d'ingénierie sociale ou la revente d'accès à d'autres acteurs malveillants.

Impératifs défensifs : atténuer les risques et limiter l’exposition

L’ampleur et la portée de cette campagne soulignent la nécessité de mesures de sécurité proactives. Les organisations doivent privilégier des audits rigoureux de leur environnement et des pratiques de gestion des identifiants efficaces afin de réduire leur exposition aux risques.

Les actions recommandées comprennent :

  • Appliquer le principe du moindre privilège à tous les systèmes et services
  • Activation de l'analyse automatisée des secrets pour détecter les identifiants exposés
  • Éviter la réutilisation des paires de clés SSH dans différents environnements
  • Mise en œuvre d'IMDSv2 sur toutes les instances AWS EC2 afin de protéger l'accès aux métadonnées
  • En cas de suspicion de compromission, il est impératif de procéder immédiatement à la rotation de tous les identifiants.

    • Une approche rigoureuse du contrôle d'accès et une surveillance continue sont essentielles pour se défendre contre les opérations de collecte d'identifiants de plus en plus automatisées et à grande échelle.

    Tendance

    Le plus regardé

    Chargement...