Hackers Exploit CVE-2025-55182 to Breach 766 Next.js Hosts, Steal Credentials
Mis à jour :
Campagne de vol de données massive via la vulnérabilité « React2Shell »
Le groupe de menace UAT-10608 mène une vaste opération automatisée de collecte d’identifiants ciblant les applications Next.js. Au moins 766 serveurs ont déjà été compromis. Les attaquants utilisent un framework baptisé « NEXUS Listener » (actuellement en version 3), doté d’une interface graphique, pour organiser et exploiter les données dérobées.
Points clés :
- Vecteur d’attaque : Utilisation de scanners automatisés pour identifier des déploiements Next.js exposés sur Internet.
- Méthodologie : Une fois l’accès initial obtenu, un script multi-étapes extrait une large gamme de données sensibles : clés API (Stripe, GitHub, OpenAI), secrets cloud (AWS, Azure, GCP), configurations Docker/Kubernetes, jetons SSH et historique des commandes shell.
- Objectif : Constituer une base de données d’infrastructure victime pour orchestrer des attaques secondaires ou revendre les accès à d’autres groupes criminels.
Vulnérabilité exploitée :
- CVE-2025-55182 (React2Shell) : Score CVSS 10.0. Une faille critique dans les composants React Server et le routeur d’applications Next.js permettant l’exécution de code à distance (RCE).
Recommandations :
- Mise à jour : Appliquer immédiatement les correctifs pour la vulnérabilité CVE-2025-55182.
- Principe du moindre privilège : Restreindre les accès aux services cloud et aux secrets d’application au strict nécessaire.
- Renforcement du Cloud : Imposer l’utilisation d’IMDSv2 sur les instances AWS EC2 pour sécuriser l’accès aux métadonnées.
- Hygiène de sécurité : Mettre en œuvre le scan automatique des secrets dans le code source, éviter la réutilisation des clés SSH et procéder à une rotation systématique des identifiants en cas de compromission suspectée.