Giriş
Son dönemlerde, büyük ölçekli bir kimlik bilgisi toplama operasyonunun, veritabanı kimlik bilgileri, SSH özel anahtarları ve daha fazlasını çalan React2Shell açığını hedef aldığı gözlemlenmiştir. Bu durum, siber güvenlik açısından ciddi tehditlere yol açmakta ve kuruluşların güvenlik önlemlerini tekrar gözden geçirmelerini zorunlu kılmaktadır.
Saldırı Nasıl Çalışıyor?
Bu operasyon, Cisco Talos tarafından UAT-10608 olarak adlandırılan bir tehdit kümesine atfedilmektedir. En az 766 host, farklı coğrafi bölgelerde ve bulut sağlayıcıları üzerinden hedef alınmıştır. Operasyon sonrası, UAT-10608, çeşitli uygulamalardan kimlik bilgilerini otomatik olarak çıkarmak ve dışa aktarmak için betikler kullanmaktadır. Elde edilen bilgiler, komuta ve kontrol (C2) sunucusuna aktarılmaktadır.
Operasyon, CVE-2025-55182 (CVSS skoru: 10.0) ile başarısız olan Next.js uygulamalarını hedef alarak, uzaktan kod yürütme ile ilk erişimi sağlamaktadır. Bu işlem, bir yükleyici aracılığıyla çok aşamalı bir toplama betiği dağıtarak gerçekleştirilir. Toplanan veriler arasında şu unsurlar yer alır:
- Ortamsal değişkenler
- JS çalışma zamanından JSON ile ayrıştırılmış ortam
- SSH özel anahtarları ve authorized_keys
- Shell komut geçmişi
- Kubernetes hizmet hesabı tokenları
- Docker konteyner yapılandırmaları (çalışan konteynerler, imgeler, açık portlar, ağ yapılandırmaları, montaj noktaları ve ortam değişkenleri)
- API anahtarları
- AWS, Google Cloud ve Microsoft Azure için Geçici kimlik bilgileri oluşturan IAM rolü ile ilişkilendirilmiş veriler
- Çalışan süreçler
Etkilenen Sistemler
Kuruluşların, kurban setinin kapsamı ve hedef alma biçimi, otomatik tarama ile belirlenmiş olabileceğini göstermektedir. Güvenlik araştırmacıları, Shodan, Censys veya özel tarayıcılar gibi hizmetlerin kullanılarak hedeflerin belirlendiğini öne sürmektedir. Temel olarak, her şey, çalınan bilgileri görebilmeyi sağlayan ve istatistiklerle bilgi edinmeyi mümkün kılan “NEXUS Listener” adlı bir web tabanlı kullanıcı arayüzünde toplanmaktadır.
Çözüm ve Korunma
NEXUS Listener’ın mevcut versiyonu V3 olup, önemli geliştirme aşamalarından geçmiş bir araçtır. Talos’un elde ettiği veriler arasında Stripe ile ilişkili API anahtarları, yapay zeka platformları (OpenAI, Anthropic, NVIDIA NIM), iletişim hizmetleri (SendGrid, Brevo) ve diğer uygulama gizlilikleri bulunmuştur.
Kuruluşların, siber tehditlere karşı aşağıdaki önlemleri alması önerilmektedir:
- Ortamlarını denetleyerek en az ayrıcalık ilkesini uygulayın.
- Gizli bilgiler için tarama etkinleştirin.
- SSH anahtar çiftlerini tekrar kullanmaktan kaçının.
- Tüm AWS EC2 örneklerinde IMDSv2 uygulamasını zorunlu hale getirin.
- Bir ihlal varsa kimlik bilgilerini döndürün.
Sonuç
Bu tür büyük ölçekli saldırılar, kuruluşların güvenlik önlemlerini güçlendirmelerini ve siber hijyen pratiği geliştirmelerini zorunlu kılmaktadır. Hedef alınma riskini azaltmak için, güncellemeleri uygulamak ve gerekirse portları kapatmak kritik öneme sahiptir. Kuruluşların derhal harekete geçmesi ve güvenlik açıklarını kapatmaları gerekmektedir.
