サイバーセキュリティ研究者たちは、React2Shellエクスプロイト（CVE-2025-55182）に対して脆弱なNext.jsアプリケーションを標的とした洗練されたキャンペーンを発見しました。Cisco TalosがUAT-10608として追跡している脅威クラスターに帰属するこの作戦は、NEXUS Listenerという名前の自動化フレームワークを利用して、侵害されたシステムから認証情報と機密データを収集しています。 ### 広範な侵害 様々なクラウドプロバイダーや地理的場所にわたる少なくとも766のホストが侵害されています。攻撃者は、データベース認証情報、Amazon Web Services (AWS) 認証情報、SSH秘密鍵、APIキー、クラウドトークン、環境シークレットの収集に焦点を当てています。 ### NEXUS Listener：自動化された収集ツール NEXUS Listenerフレームワークは、機密データの抽出と外部への送信プロセスを自動化します。Cisco Talosは、フレームワークの公開されたインスタンスにアクセスし、その機能と収集されているデータの範囲についての洞察を得ました。  **Nexus Listenerのメインパネル** *出典：Cisco Talos* ### 攻撃チェーン：脆弱性から外部送信まで 攻撃は、脆弱なNext.jsアプリケーションの自動スキャンから始まります。脆弱なターゲットが特定されると、React2Shell脆弱性が悪用され、標準の一時ディレクトリに多段階の認証情報収集スクリプトが展開されます。 窃取されるデータには以下が含まれます： * 環境変数とシークレット（APIキー、データベース認証情報、GitHub/GitLabトークン） * SSHキー * クラウド認証情報（AWS/GCP/Azureメタデータ、IAM認証情報） * Kubernetesトークン * Docker/コンテナ情報 * コマンド履歴 * プロセスおよび実行時データ これらの機密情報は、その後、NEXUS Listenerコンポーネントを実行しているコマンド＆コントロール（C2）サーバーに対して、ポート8080経由のHTTPリクエストでチャンクごとに外部に送信されます。攻撃者は、検索、フィルタリング、統計分析機能を含む、データの詳細なビューを取得します。  **キャンペーンで収集されたシークレットの量** *出典：Cisco Talos* ### 影響と推奨事項 窃取された認証情報は、攻撃者がクラウドアカウントの乗っ取りを実行し、データベースや決済システムにアクセスし、サプライチェーン攻撃を開始することを可能にします。侵害されたSSHキーは、侵害されたネットワーク内での横方向の移動を容易にします。 Ciscoは、個人識別情報の漏洩から生じる可能性のある規制上の結果を強調しています。 リスクを軽減するために、Cisco Talosは以下を推奨しています： * React2Shellのセキュリティアップデートを適用する。 * サーバーサイドのデータ漏洩を監査する。 * 侵害が疑われる場合は、直ちにすべての認証情報をローテーションする。 * AWS IMDSv2を強制する。 * 再利用されたSSHキーをすべて置き換える。 * シークレットスキャンを有効にする。 * Next.jsアプリケーションにWAF/RASP保護を展開する。 * コンテナとクラウドロール全体で最小権限を強制する。 <a rel="noopener sponsored" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" data-src="https://www.bleepstatic.com/c/p/picus-whitepaper.jpg" alt="tines"></a> 自動ペネトレーションテストは6つのサーフェスのうち1つしかカバーしていません。 自動ペネトレーションテストはパスが存在することを示します。BASは、コントロールがそれを停止するかどうかを示します。ほとんどのチームは、一方なしで他方を実行します。 このホワイトペーパーは、6つの検証サーフェスをマッピングし、カバレッジが終了する場所を示し、実践者に任意のツール評価のための3つの診断質問を提供します。