Lỗ hổng nghiêm trọng trong Next.js bị khai thác, hơn 700 máy chủ kêu cứu

[WhiteHat Team]

Một chiến dịch tấn công quy mô lớn đang lợi dụng lỗ hổng CVE-2025-55182 trong nền tảng Next.js để xâm nhập hệ thống và thu thập hàng loạt thông tin nhạy cảm. Theo báo cáo từ Cisco Talos, ít nhất 766 máy chủ trên nhiều khu vực và nền tảng đám mây đã bị ảnh hưởng.
​

​

Lỗ hổng CVE-2025-55182 có điểm CVSS tối đa 10/10 liên quan đến cơ chế xử lý phía máy chủ của React trong Next.js, cho phép kẻ tấn công thực thi mã từ xa. Sau khi xâm nhập thành công, nhóm tấn công được định danh là UAT-10608, triển khai công cụ thu thập dữ liệu mang tên “NEXUS Listener”.

Cụ thể, mã độc được cài vào hệ thống thông qua một “dropper” (tập tin cài đặt ban đầu), sau đó kích hoạt chuỗi kịch bản tự động để thu thập dữ liệu như biến môi trường, khóa SSH, lịch sử lệnh, cấu hình Docker, token Kubernetes, khóa API cũng như thông tin truy cập tạm thời từ các dịch vụ đám mây như AWS, Google Cloud và Azure.

Toàn bộ dữ liệu bị đánh cắp sẽ được gửi về máy chủ điều khiển của kẻ tấn công. Tại đây, chúng sử dụng giao diện web có tên “NEXUS Listener” để quản lý, tìm kiếm và phân tích thông tin, bao gồm số lượng hệ thống bị xâm nhập và các loại dữ liệu thu thập được.

Đáng chú ý, chiến dịch này không nhắm mục tiêu cụ thể mà quét diện rộng các hệ thống Next.js công khai trên Internet, tận dụng các công cụ tìm kiếm thiết bị như Shodan hoặc Censys để phát hiện mục tiêu dễ bị tấn công.

Dữ liệu thu thập được rất đa dạng, từ khóa API thanh toán, token GitHub/GitLab, đến thông tin từ các nền tảng AI và dịch vụ email. Điều này không chỉ gây rủi ro trực tiếp mà còn tạo điều kiện cho các cuộc tấn công tiếp theo như giả mạo, lừa đảo hoặc bán quyền truy cập.

Doanh nghiệp cần rà soát hệ thống, giới hạn quyền truy cập theo nguyên tắc tối thiểu, không tái sử dụng khóa SSH, kích hoạt cơ chế bảo vệ metadata trên máy chủ đám mây và thay đổi toàn bộ thông tin đăng nhập nếu có dấu hiệu bị xâm nhập.
​

Theo The Hacker News​