Cisco Talos a dezvăluit miercuri o campanie automatizată de colectare a credențialelor la scară largă care a compromis cel puțin 766 de servere prin exploatarea unei vulnerabilități critice de execuție de cod la distanță în Next.js și React Server Components. Grupul de amenințări, urmărit sub numele UAT-10608, folosește un set de instrumente automatizate numit NEXUS Listener pentru a extrage credențiale cloud, chei SSH, tokeni API și secrete de baze de date de pe serverele compromise din mai mulți furnizori de servicii cloud.
Cum funcționează atacul
Campania vizează aplicațiile vulnerabile la CVE-2025-55182, o vulnerabilitate de tip deserialization pre-autentificare în React Server Components, dezvăluită pentru prima dată în decembrie 2025. Cu un scor CVSS de 10.0, vulnerabilitatea permite atacatorilor să realizeze execuție de cod la distanță prin trimiterea unei singure cereri HTTP special concepute către un punct final Server Function — fără a fi necesare credențiale. Chiar și aplicațiile Next.js implicite create cu create-next-app sunt exploatabile fără nicio modificare de cod din partea dezvoltatorului, conform cercetărilor de la Unit 42 al Palo Alto Networks.
Odată ce un atacator obține accesul inițial, setul automatizat de instrumente al UAT-10608 preia controlul fără nicio altă interacțiune manuală. Script-ul de colectare multi-fază rulează module care extrag variabilele de mediu, extrag chei private SSH, identifică șiruri de caractere cu credențiale folosind pattern-matching, interoghează API-urile de metadate cloud pentru Amazon Web Services, Google Cloud și Microsoft Azure, și extrag token-uri de cont de serviciu Kubernetes și configurații de containere. Datele furate — incluzând token-uri GitHub, chei API Stripe, șiruri de conexiune la baze de date cu parole în text clar și credențiale de rol IAM — sunt trimise către un server de comandă și control care găzduiește tabloul de bord web NEXUS Listener, unde operatorii pot naviga și analiza informațiile colectate.
Medii cloud în risc deosebit
Campania reprezintă o amenințare acută pentru infrastructura găzduită în cloud. Pe instanțele AWS EC2 configurate greșit, interogările reușite către Instance Metadata Service pot furniza credențiale IAM temporare cu permisiuni extinse, acordând potențial acces la bucket-uri S3, panoul de control EC2 sau la managerii de secrete. Biroul pentru Securitatea Informațiilor de la UC Berkeley a avertizat în martie că până la 44 la sută dintre mediile cloud pot avea instanțe vulnerabile expuse public.
Măsuri de apărare recomandate
Cisco Talos și cercetătorii în securitate recomandă ca organizațiile să actualizeze imediat implementările vulnerabile de Next.js și React, să aplice politici de acces cu privilegii minime, să activeze scanarea secretelor în pipeline-urile CI/CD și să implementeze IMDSv2 pe instanțele AWS EC2 pentru a bloca interogările nonautentificate ale metadatelor. Orice credențiale care ar fi putut fi expuse ar trebui rotite fără întârziere.
Surse:
https://security.berkeley.edu/news/critical-vulnerabilities-react-and-nextjs
UAT-10608: Inside a large-scale automated credential harvesting operation targeting web applications