Очевидный сбой в системе безопасности позволил исследователям заглянуть в работу группы угроз, которая в настоящее время использует необновленные серверы, уязвимые к четырехмесячной уязвимости React2Shell, для массового похищения учетных данных для входа, ключей и токенов.
Исследователи из команды по анализу угроз Talos компании Cisco Systems, сделавшие это открытие, сообщили в четверг, что данные, собранные неаттрибутированной группой, которую они назвали UAT-10608, попали в защищенную паролем базу данных за веб-приложением. Однако это приложение в какой-то момент оказалось открытым, что позволило исследователям увидеть данные, собранные с скомпрометированных систем.
Учетные данные, а также токены авторизации и многое другое, украденные на данный момент, получены из инстансов AWS, Microsoft Azure, OpenAI, Anthropic, Nvidia NIM, OpenRouter, Tavily, платежного процессора Stripe и GitHub.
Веб-приложение позволяет пользователю просматривать все скомпрометированные хосты. Затем можно выбрать определенный хост, после чего появится меню со всеми извлеченными данными, соответствующими каждому этапу скрипта сбора данных, — это стало бонусом для исследователей.
Это открытие — веская причина для ИТ-специалистов, использующих серверы React, которые еще не устранили эту уязвимость, действовать быстро, прежде чем будут украдены корпоративные учетные данные. Чтобы помочь смягчить последствия атаки, уведомляются жертвы и поставщики услуг с открытыми и подверженными риску учетными данными, включая AWS и GitHub.
Одна примечательная статистика: автоматизированный фреймворк эксплуатации и сбора данных смог успешно скомпрометировать 766 хостов в течение 24-часового периода.
Под угрозой находятся приложения Next.js, уязвимые к CVE-2025-55182 — уязвимости удаленного выполнения кода до аутентификации, известной как React2Shell. Исправление было выпущено четыре месяца назад.
Многоэтапная атака
После компрометации хоста кампания развертывает многоэтапный инструмент для сбора учетных данных, который в больших масштабах собирает имена пользователей, пароли, SSH-ключи, облачные токены и секреты окружения.
«Широта набора жертв и неразборчивый шаблон нацеливания согласуются с автоматизированным сканированием», — заявляет Cisco Talos, — «вероятно, основанным на данных профиля хоста из таких сервисов, как Shodan, Censys или пользовательских сканеров, для перечисления общедоступных развертываний Next.js и их проверки на наличие описанных уязвимостей конфигурации React».
Злоумышленник создает вредоносную сериализованную полезную нагрузку, предназначенную для злоупотребления процедурой десериализации — техникой, обычно используемой для вызова произвольной инстанциации объектов или вызова методов на сервере. Полезная нагрузка отправляется через HTTP-запрос непосредственно в конечную точку Server Function; аутентификация не требуется. Сервер десериализует вредоносную полезную нагрузку, что приводит к произвольному выполнению кода в процессе Node.js на стороне сервера.
Первоначальный эксплойт React доставляет небольшой дроппер, который загружает и запускает многоэтапный скрипт сбора данных. После выполнения скрипт сбора данных проходит несколько этапов для сбора различных данных с скомпрометированной системы, которые затем загружаются на сервер управления и контроля, где они помещаются в базу данных.
Промышленный масштаб
«Все дело в пренебрежении и эффективности», — сказал Джин Муди, технический директор по работе с клиентами в компании Action1, занимающейся управлением исправлениями, в интервью CSO. «React2Shell быстро удовлетворил все критерии, которые ищут злоумышленники: публичное раскрытие, надежная эксплуатация и подверженность воздействию интернета. Эта комбинация фактически гарантировала широкое злоупотребление. С тех пор несколько кампаний автоматизировали полный [атакующий] цикл [включая] сканирование, эксплуатацию и сбор учетных данных, с минимальным вмешательством человека или без него».
Злоумышленники действуют в промышленных масштабах, добавил он. Такие платформы, как Shodan и Censys, уже индексируют большую часть интернета, что делает уязвимые системы тривиальными для поиска. Учитывая ограниченное пространство IP-адресов, полное сканирование может быть завершено менее чем за час даже на самых скромных современных компьютерах/интернет-соединениях.
«Для открытых систем не осталось значительной скрытности», — добавил он. «Честно говоря, ее никогда и не было».
«Атака началась, когда вы не установили исправление»
Результат предсказуем, сказал Муди: необновленные системы не «находятся под угрозой», они стоят в очереди. Обнаружение быстрое, эксплуатация быстрая, а компрометация часто автоматизирована от начала до конца. «React2Shell — прекрасный пример того, как быстро злоумышленники могут превратить известную проблему в устойчивый источник дохода и поддерживать ее в течение длительного времени из-за самоуспокоенности администраторов».
«Еще больше беспокоит то, что происходит после первоначального доступа», — добавил он. «Сбор учетных данных значительно продлевает срок жизни атаки далеко за рамки первоначальной уязвимости. Даже если системы позже будут исправлены, украденные учетные данные могут обеспечить сохранение присутствия, боковое перемещение, и, как следствие, это означает, что атака началась, когда вы не установили исправление. Одна ошибка может мгновенно превратиться во все ошибки, если такая информация попадет не в те руки. Ущерб может быть абсолютным, без возможности восстановления. Компании терпели крах и из-за меньшего. Когда это закончится, это определенно не будет моментом установки исправления, если вы не успели до того, как вас скомпрометировали.
«Относитесь к установке исправлений как к зубной боли», — посоветовал он. «При первых признаках устраняйте проблему как можно быстрее, иначе последует только страдание».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
