Кredentials в опасности: крупномасштабная автоматизированная атака на веб-приложения
Произошла крупномасштабная автоматизированная атака на веб-приложения, в результате которой были скомпрометированы учетные данные и конфиденциальная информация. Атака была проведена группой, которую отслеживают под кодовым названием UAT-10608, и затронула более 766 хостов по всему миру. Атака была направлена на веб-приложения, использующие Next.js и уязвимые к атаке React2Shell (CVE-2025-55182).
Подробности
Атака была осуществлена с помощью автоматизированных скриптов, которые извлекали и передавали учетные данные из различных приложений на командный и контрольный сервер (C2). На C2 был доступен веб-интерфейс с названием "NEXUS Listener", который позволял злоумышленникам просматривать украденную информацию и получать аналитические данные о скомпрометированных хостах и учетных данных. Атака была направлена на веб-приложения, использующие Next.js и уязвимые к атаке React2Shell (CVE-2025-55182), которая является уязвимостью удаленного выполнения кода (RCE) в React Server Components (RSC).Что делать
Чтобы защититься от этой атаки, рекомендуется сразу же обновить Next.js и React до последних версий и использовать дополнительные меры безопасности, такие как двухфакторная аутентификация (MFA) и шифрование данных (TLS). Кроме того, необходимо регулярно сканировать веб-приложения на наличие уязвимостей и отслеживать подозрительную активность. Итог: Атака UAT-10608 является крупномасштабной и серьезной угрозой безопасности веб-приложений. Чтобы защититься от этой атаки, необходимо принять немедленные меры и обновить свои приложения до последних версий.Источник: Cisco Talos Intelligence