766 Host Next.js Diretas via CVE-2025-55182, Data Kredensial Dicuri Massal
766 host Next.js berhasil diretas melalui celah kritis CVE-2025-55182, memungkinkan pencurian kredensial secara masif dan memberikan pintu masuk untuk serangan lanjutan yang terarah.
Serangan Skala Besar Manfaatkan Kerentanan React2Shell
Operasi pencurian kredensial berskala besar telah teridentifikasi mengeksploitasi kerentanan React2Shell sebagai vektor infeksi awal. Para peretas berhasil mencuri data sensitif seperti kredensial database, kunci privat SSH, rahasia Amazon Web Services (AWS), riwayat perintah shell, kunci API Stripe, hingga token GitHub.
Menurut hasil investigasi Cisco Talos, operasi ini dijalankan oleh kelompok ancaman yang diberi kode nama UAT-10608. Setidaknya 766 host di berbagai wilayah geografis dan penyedia cloud telah berhasil dikompromikan dalam serangan ini.
"Setelah pengambilalihan, UAT-10608 menggunakan skrip otomatis untuk mengekstrak dan mengekspor kredensial dari berbagai aplikasi, yang kemudian dikirimkan ke server command-and-control (C2)," jelas peneliti keamanan Asheer Malhotra dan Brandon White dalam laporan yang dibagikan kepada The Hacker News.
Framework NEXUS Listener Memudahkan Pengelolaan Data Hasil Curian
Server C2 meng-host aplikasi web berbasis GUI bernama 'NEXUS Listener' yang memungkinkan operator untuk melihat data yang dicuri dan menganalisis statistik terkait kredensial serta host yang berhasil diakses.
Serangan ini menargetkan aplikasi Next.js yang rentan terhadap CVE-2025-55182 (nilai CVSS 10.0), sebuah celah kritis pada React Server Components dan Next.js App Router yang dapat menyebabkan eksekusi kode jarak jauh. Setelah mendapat akses, peretas menanamkan framework NEXUS Listener untuk melakukan pengumpulan data secara bertahap.
Data yang Dikumpulkan Meliputi:
- Variabel lingkungan sistem
- Environment JSON dari runtime JavaScript
- Kunci privat SSH dan file authorized_keys
- Riwayat perintah shell
- Token akun layanan Kubernetes
- Konfigurasi container Docker, termasuk kontainer yang berjalan, image, port, konfigurasi jaringan, dan mount point
- Kunci API berbagai layanan
- Kredensial sementara IAM dari Instance Metadata Service AWS, Google Cloud, dan Microsoft Azure
- Proses yang sedang berjalan
Cisco Talos menduga penggunaan pemindaian otomatis dengan layanan seperti Shodan, Censys, atau scanner kustom untuk menemukan deployment Next.js yang dapat diakses publik dan memeriksa kerentanannya.
Detail Aplikasi dan Data yang Disusupi
GUI NEXUS Listener yang diproteksi password memfasilitasi operator dalam mengakses hasil pencurian data dengan fitur pencarian dan statistik lengkap, termasuk jumlah host dan jenis kredensial yang berhasil diekstrak.
Versi terbaru yang ditemukan adalah V3, menandakan bahwa alat ini telah mengalami pengembangan berulang sebelum mencapai bentuk saat ini.
Cisco Talos berhasil mengakses instance NEXUS Listener tanpa autentikasi yang berisi kunci API layanan seperti Stripe, platform AI (OpenAI, Anthropic, NVIDIA NIM), layanan komunikasi (SendGrid, Brevo), token bot Telegram, rahasia webhook, token GitHub dan GitLab, string koneksi database, serta rahasia aplikasi lainnya.
Rekomendasi Keamanan untuk Organisasi
Operasi pencurian data yang masif ini menegaskan bagaimana peretas dapat memanfaatkan akses ke host yang dikompromikan untuk melancarkan serangan lanjutan. Oleh karena itu, organisasi disarankan untuk:
- Melakukan audit menyeluruh dan menerapkan prinsip least privilege
- Mengaktifkan pemindaian rahasia (secret scanning) secara otomatis
- Menghindari penggunaan ulang pasangan kunci SSH
- Menerapkan penegakan IMDSv2 pada semua instance AWS EC2
- Melakukan rotasi kredensial jika ada indikasi kompromi
Menurut peneliti, "Selain nilai langsung dari kredensial individual, kumpulan data ini memberikan peta infrastruktur organisasi korban yang rinci: layanan yang dijalankan, konfigurasi, penyedia cloud yang digunakan, dan integrasi pihak ketiga yang terpasang."
"Intelijen ini sangat berharga untuk merancang serangan lanjutan yang terarah, kampanye rekayasa sosial, atau menjual akses kepada aktor ancaman lain," tambah mereka.
Analisis Redaksi
Menurut pandangan redaksi, serangan yang memanfaatkan CVE-2025-55182 ini menunjukkan betapa rentannya ekosistem aplikasi modern yang mengandalkan Next.js dan React Server Components terhadap eksploitasi kritis yang memungkinkan eksekusi kode jarak jauh. Pencurian kredensial dalam skala besar seperti ini bukan hanya merugikan secara langsung, tetapi juga membuka peluang bagi serangan bertingkat yang jauh lebih kompleks, seperti penyusupan ke dalam infrastruktur cloud dan pencurian data pelanggan.
Kelompok ancaman yang menggunakan alat canggih seperti NEXUS Listener menunjukkan evolusi teknik peretasan yang semakin terorganisir dan otomatis, sehingga menuntut respons keamanan yang proaktif dari organisasi. Penggunaan layanan pemindaian otomatis untuk menemukan target secara massal menegaskan perlunya pengamanan publikasi aplikasi web secara ketat dan pemantauan kerentanan secara kontinu.
Ke depan, pemantauan terhadap pembaruan keamanan Next.js dan penerapan mitigasi seperti IMDSv2 pada cloud provider menjadi sangat krusial. Publik dan perusahaan juga perlu meningkatkan kesadaran dan investasi pada mekanisme rotasi kredensial serta proteksi data rahasia agar tidak menjadi korban serangan serupa.
Untuk informasi lebih lengkap dan update terkait keamanan siber, Anda dapat membaca langsung laporannya di The Hacker News serta mengikuti perkembangan terbaru dari sumber terpercaya lainnya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
