UAT-10608 كايستغل ثغرة خطيرة فـ Next.js (CVE-2025-55182) باش يسيطر على أكثر من 766 سيرفور
UAT-10608 كايستغل ثغرة خطيرة فـ Next.js (CVE-2025-55182) باش يسيطر على أكثر من 766 سيرفور
خلاصة القول (TL;DR): واحد لمجموعة ديال الهاكرز سميتها UAT-10608 دايرة حملة كبيرة باش تسرق معلومات الدخول (credentials) باستغلال ثغرة خطيرة التقيم ديالها 10.0 (CVE-2025-55182) فـ Next.js. باستعمال واحد "السيستيم" خاص سميتو "NEXUS Listener"، قدروا يخترقوا على الأقل 766 سيرفور باش يسرقوا سوارت SSH، أسرار AWS، سوارت API ديال Stripe، وحوايج خرى بزاف.
الباحثين من Cisco Talos كشفوا على عملية كبيرة ومعقدة كتستهدف لـ applications اللي خدامين بـ Next.js. هاد الحملة كتستغل ثغرة RCE (تنفيذ الكود عن بُعد) خطيرة باش تزرع سكريبتات كتجمع بشكل أوتوماتيكي أي معلومة عندها قيمة فالسيرفورات المخترقة، بحال ملفات الـ configuration وسوارت الدخول.
هاد النشاط تنسب لمجموعة سميتها UAT-10608. لحد الآن، هاد المجموعة قدرات تخترق بنجاح كتر من 766 سيرفور فبزايف ديال لبلايص فالعالم وعند بزاف ديال الـ cloud providers.
فهم طريقة الاختراق: CVE-2025-55182
هاد الاختراق كيبدا باستغلال الثغرة CVE-2025-55182، اللي معروفة بـ React2Shell. هاد الثغرة كاينا فـ React Server Components وفـ Next.js App Router.
بواحد السكور CVSS كيساوي 10.0 (أعلى درجة خطورة)، هاد الثغرة كاتسمح للهاكرز ينفذوا كود عن بُعد بلا ما يحتاجوا يتكونيكطاو (unauthenticated RCE). التقارير كتقول باللي الهاكرز كيخدموا أدوات ديال scanning أوتوماتيكية — وكايستعملوا خدمات بحال Shodan ولا Censys — باش يلقاو أي موقع Next.js باين فالأنترنت ويجربوا واش فيه هاد الثغرة.
السيستيم ديال NEXUS Listener
ملي كيقدروا يدخلوا للسيرفور، UAT-10608 كايحطوا "dropper" كايثبت سكريبت ديال الجمع (harvesting) فيه بزاف ديال المراحل. هاد السكريبت جزء من واحد الإطار (framework) سماوه الباحثين NEXUS Listener.
هاد السيستيم منظم بزاف، وفيه واجهة (GUI) ويب محمية بكلمة سر (حالياً فـ Version V3) اللي كاتخلي الهاكرز يشوفوا كاع المعلومات اللي تسرقات والتحليلات ديالها. الـ dashboard ديال "NEXUS Listener" كايعطي إحصائيات على:
- عدد السيرفورات (hosts) اللي تم اختراقهم.
- شحال ديال كل نوع من الـ credentials تسرق.
- قاعدة بيانات قابلة للبحث فيها كاع المعلومات اللي تخاذت.
- شحال من وقت بقات البنية التحتية ديالهم (C2) خدامة (uptime).
شنو كيتسرق؟
السكريبتات الأوتوماتيكية مصممة باش ماتخلي والو. Cisco Talos لقات باللي هاد المعلومات كايتم تسريبها للسيرفورات ديال الهاكرز (C2):
- الـ Cloud والبنية التحتية: معلومات دخول مؤقتة ديال AWS، Google Cloud، و Microsoft Azure (عن طريق IMDS)، الـ tokens ديال Kubernetes، والـ configurations ديال Docker.
- سوارت الدخول (Access Keys): سوارت SSH الخاصة (private keys)، ملفات
authorized_keysوالـ tokens ديال GitHub و GitLab. - سوارت الـ APIs المالية والخدماتية: سوارت API ديال Stripe، OpenAI، Anthropic، و NVIDIA NIM، والـ tokens ديال التواصل بحال SendGrid، Brevo، و Telegram.
- معلومات السيستيم: الـ history ديال الأوامر (Shell command history)، الـ environment variables، البروسيسورات اللي خدامين (running processes)، ومعلومات الربط مع قواعد البيانات (database connection strings).
التأثير الكبير
بعيداً عن الخطر المباشر ديال سرقة سوارت الـ API، هاد المعلومات كاتعطي لـ UAT-10608 "خريطة دقيقة" على الشركات اللي تضربات.
الباحثين Asheer Malhotra و Brandon White قالوا: "هاد المعلومات عندها قيمة كبيرة باش يوجدو هجمات مستهدفة من بعد، أولا حملات ديال الهندسة الاجتماعية (social engineering)، أولا يبيعوا حق الولوج (access) لهاكرز خرين". ملي كيعرف الهاكر شكون هو الـ cloud provider ديال الشركة، وشنو هما الخدمات اللي خدام بيهم، كيقدر يتنقل وسط الشبكة بسهولة ويكبر الصلاحيات ديالو بدقة عالية.
كيفاش تحمي راسك (Mitigation)
بما أن هاد الهجمات أوتوماتيكية والثغرة ديال React2Shell خطيرة بزاف، الشركات اللي خدامة بـ Next.js خاصها تاخد إجراءات فورية:
- دير Update دابا: تأكد باللي Next.js اللي خدام بيه فيه آخر تحديث كايسد ثغرة CVE-2025-55182.
- طبق مبدأ Least Privilege: حدد الصلاحيات ديال الـ service accounts وسوارت الـ API لأقل درجة ممكنة.
- أمن خدمات الـ Metadata: فعل IMDSv2 فكاع الـ AWS EC2 instances باش تمنع سرقة معلومات الدخول المؤقتة.
- نظف سوارت الدخول: بدل سوارت SSH (Rotate) وأي أسرار (Stripe, GitHub, إلخ) إلى شكيتي فالخطر أولا إلى كان عندك Next.js قديم باين فالأنترنت.
- قلب على الأسرار (Secret Scanning): فعل خاصية الـ automated secret scanning باش تفيق بالسوارت اللي يقدروا يكونوا تسرقوا ولا تحطوا فملفات باينة.
المصدر: The Hacker News - Hackers Exploit CVE-2025-55182 to Breach 766 Next.js Hosts, Steal Credentials