Cybersicherheitsforscher haben eine ausgeklügelte Kampagne aufgedeckt, die **Next.js**-Anwendungen ins Visier nimmt, die für den **React2Shell**-Exploit (CVE-2025-55182) anfällig sind. Die Operation, die von **Cisco Talos** einem Bedrohungscluster namens UAT-10608 zugeordnet wird, verwendet ein automatisiertes Framework namens **NEXUS Listener**, um Anmeldedaten und sensible Daten von kompromittierten Systemen zu ernten. ### Weitreichende Kompromittierung Mindestens 766 Hosts auf verschiedenen Cloud-Anbietern und geografischen Standorten wurden kompromittiert. Die Angreifer konzentrieren sich auf das Sammeln von Datenbankanmeldedaten, **Amazon Web Services (AWS)**-Anmeldedaten, privaten SSH-Schlüsseln, API-Schlüsseln, Cloud-Tokens und Umgebungsvariablen. ### NEXUS Listener: Das automatisierte Erntewerkzeug Das **NEXUS Listener**-Framework automatisiert den Prozess der Extraktion und Exfiltration sensibler Daten. **Cisco Talos** erhielt Zugang zu einer exponierten Instanz des Frameworks, die Einblicke in seine Funktionalität und den Umfang der geernteten Daten liefert.  **Das Hauptpanel von Nexus Listener** *Quelle: Cisco Talos* ### Angriffs-Kette: Von der Schwachstelle zur Exfiltration Der Angriff beginnt mit automatisiertem Scannen nach anfälligen **Next.js**-Anwendungen. Sobald ein anfälliges Ziel identifiziert wurde, wird die **React2Shell**-Schwachstelle ausgenutzt, um ein mehrstufiges Skript zur Ernte von Anmeldedaten in das Standard-Temporärverzeichnis einzuschleusen. Gestohlene Daten umfassen: * Umgebungsvariablen und Geheimnisse (API-Schlüssel, Datenbankanmeldedaten, GitHub/GitLab-Tokens) * SSH-Schlüssel * Cloud-Anmeldedaten (**AWS**/GCP/Azure-Metadaten, IAM-Anmeldedaten) * Kubernetes-Tokens * Docker/Container-Informationen * Befehlshistorie * Prozess- und Laufzeitdaten Diese sensiblen Informationen werden dann in Chunks über HTTP-Anfragen über Port 8080 an einen Command-and-Control (C2)-Server, auf dem die **NEXUS Listener**-Komponente läuft, exfiltriert. Die Angreifer erhalten eine detaillierte Ansicht der Daten, einschließlich Such-, Filter- und statistischer Analysefunktionen.  **Umfang der im Rahmen der Kampagne gesammelten Geheimnisse** *Quelle: Cisco Talos* ### Auswirkungen und Empfehlungen Die gestohlenen Anmeldedaten können Angreifern ermöglichen, Cloud-Konten zu übernehmen, auf Datenbanken und Zahlungssysteme zuzugreifen und Supply-Chain-Angriffe zu starten. Kompromittierte SSH-Schlüssel erleichtern die laterale Bewegung innerhalb kompromittierter Netzwerke. **Cisco** betont die potenziellen regulatorischen Konsequenzen, die sich aus der Offenlegung persönlich identifizierbarer Informationen ergeben können. Um das Risiko zu mindern, empfiehlt **Cisco Talos** Folgendes: * Sicherheitsupdates für **React2Shell** anwenden. * Serverseitige Datenexposition prüfen. * Alle Anmeldedaten sofort rotieren, wenn ein Kompromittierung vermutet wird. * **AWS** IMDSv2 erzwingen. * Wiederverwendete SSH-Schlüssel ersetzen. * Geheimnisprüfung aktivieren. * WAF/RASP-Schutz für **Next.js**-Anwendungen bereitstellen. * Least-Privilege-Prinzip über Container und Cloud-Rollen hinweg erzwingen. <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> Automatisierte Penetrationstests decken nur 1 von 6 Oberflächen ab. Automatisierte Penetrationstests beweisen den Existenzweg. BAS beweist, ob Ihre Kontrollen diesen stoppen. Die meisten Teams führen das eine ohne das andere durch. Dieses Whitepaper kartiert sechs Validierungsoberflächen, zeigt, wo die Abdeckung endet, und bietet Praktikern drei Diagnosefragen für jede Werkzeugbewertung.