Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad CVE-2025-55182

CVE-2025-55182

Por Mezo en Vulnerabilidad
Traducir a:

Se ha detectado una campaña de robo de credenciales a gran escala que aprovecha la vulnerabilidad React2Shell como principal vector de infección. Esta operación se dirige a aplicaciones Next.js vulnerables, explotando específicamente la vulnerabilidad CVE-2025-55182, un fallo crítico con una puntuación CVSS de 10.0 que afecta a los componentes del servidor de React y al enrutador de aplicaciones de Next.js. La explotación exitosa permite la ejecución remota de código, lo que facilita a los atacantes el acceso inicial a los sistemas objetivo.

Investigadores de seguridad han atribuido esta actividad a un grupo de amenazas identificado como UAT-10608. La campaña ya ha comprometido al menos 766 equipos en diversas regiones geográficas y entornos de nube, lo que demuestra su magnitud y alcance operativo.

Intrusión automatizada a gran escala: objetivos amplios e indiscriminados.

El patrón de ataque refleja técnicas de reconocimiento y explotación altamente automatizadas. Se cree que los ciberdelincuentes utilizan herramientas de escaneo a gran escala como Shodan, Censys o escáneres personalizados para identificar implementaciones de Next.js expuestas públicamente y susceptibles a la vulnerabilidad.

Esta estrategia de ataque indiscriminado permite la rápida identificación de sistemas vulnerables, lo que aumenta significativamente la tasa de éxito y la magnitud de la intrusión.

Despliegue de carga útil en múltiples etapas: desde el acceso hasta la recopilación de datos.

Tras la intrusión inicial, se despliega un programa malicioso para instalar un sistema de recolección de datos multifase conocido como NEXUS Listener. Este sistema coordina scripts automatizados diseñados para extraer datos confidenciales de los sistemas infectados y enviarlos a una infraestructura centralizada de comando y control (C2).

El proceso de recolección es extenso y sistemáticamente recolecta:

  • Variables de entorno y configuraciones de tiempo de ejecución analizadas mediante JSON.
  • Claves privadas SSH y archivos authorized_keys
  • Historial de comandos de shell y detalles de los procesos en ejecución
  • Tokens de cuenta de servicio de Kubernetes y configuraciones de contenedores Docker
  • Claves API, credenciales de base de datos y secretos de servicios en la nube
  • Credenciales IAM temporales obtenidas a través de servicios de metadatos en la nube (AWS, Google Cloud, Microsoft Azure).

NEXUS Listener: Inteligencia y control centralizados

El elemento central de la operación es NEXUS Listener, una aplicación web protegida con contraseña y alojada en la infraestructura C2 de los atacantes. Esta interfaz proporciona a los operadores un panel gráfico completo para supervisar y analizar los datos robados.

Las principales capacidades de la plataforma incluyen:

  • Visibilidad en tiempo real de los hosts comprometidos y las credenciales robadas.
  • Funcionalidad de búsqueda para un filtrado y análisis de datos eficiente.
  • Estadísticas agregadas que detallan los tipos y volúmenes de credenciales.
  • Métricas del sistema, como el tiempo de actividad de la aplicación y el estado operativo.

La versión actualmente observada, NEXUS Listener V3, indica un desarrollo y perfeccionamiento continuos, lo que sugiere un conjunto de herramientas maduro y en constante evolución.

Exposición de secretos de alto valor: una peligrosa caché de datos

En algunos casos, los paneles NEXUS Listener mal configurados o sin autenticación han expuesto una amplia gama de credenciales confidenciales. Estas incluyen claves API vinculadas a servicios financieros como Stripe, plataformas de inteligencia artificial como OpenAI, Anthropic y NVIDIA NIM, así como servicios de comunicación como SendGrid y Brevo.

Entre los activos adicionales expuestos se incluyen tokens de bots de Telegram, secretos de webhooks, tokens de GitHub y GitLab, y cadenas de conexión a bases de datos. Esta amplia gama de datos comprometidos aumenta significativamente el potencial de ataques posteriores.

Impacto estratégico: Mapeo de ecosistemas de infraestructura completos

Más allá de las credenciales individuales, los datos agregados proporcionan un mapa detallado de los entornos de las víctimas. Los atacantes obtienen visibilidad de los servicios implementados, los patrones de configuración, los proveedores de nube utilizados y las integraciones con terceros.

Dicha información permite llevar a cabo operaciones de seguimiento altamente específicas, que incluyen movimientos laterales, escalada de privilegios, campañas de ingeniería social o la reventa de acceso a otros actores maliciosos.

Imperativos defensivos: Mitigación de riesgos y limitación de la exposición

La magnitud y el alcance de esta campaña ponen de manifiesto la necesidad de adoptar medidas de seguridad proactivas. Las organizaciones deben priorizar la auditoría rigurosa del entorno y las prácticas de gestión de credenciales para reducir la exposición a riesgos.

Las acciones recomendadas incluyen:

  • Aplicar el principio del mínimo privilegio en todos los sistemas y servicios.
  • Habilitar el escaneo automático de secretos para detectar credenciales expuestas.
  • Evitar la reutilización de pares de claves SSH en diferentes entornos.
  • Implementar IMDSv2 en todas las instancias de AWS EC2 para proteger el acceso a los metadatos.
  • Si se sospecha de una posible vulneración de seguridad, cambie inmediatamente todas las credenciales.

    • Un enfoque disciplinado del control de acceso y la monitorización continua es esencial para defenderse de las operaciones de robo de credenciales, cada vez más automatizadas y a gran escala.

    Tendencias

    Estafa por correo electrónico: Límite de...

    Suplantación de identidad (phishing), Correo basura
    Los correos electrónicos inesperados a menudo pueden parecer convincentes, pero es fundamental estar alerta. Los ciberdelincuentes se valen de la urgencia y el miedo para manipular a los destinatarios y lograr que actúen sin la debida verificación. Una de estas amenazas generalizadas es la estafa del correo electrónico "Límite de almacenamiento alcanzado", una campaña engañosa diseñada para...

    Mas Visto

    Cargando...