La campagne vole à grande échelle les informations d’identification des serveurs non corrigés, en raison de « négligence et d’efficacité », explique l’analyste, et les dégâts « pourraient être absolus ».
Une faille de sécurité apparente a permis aux chercheurs d’examiner le travail d’un groupe de menaces exploitant actuellement des serveurs non corrigés ouverts à la vulnérabilité React2Shell vieille de quatre mois pour voler des informations de connexion, des clés et des jetons à grande échelle.
Les chercheurs de l’équipe de renseignement sur les menaces Talos de Cisco Systems qui ont fait la découverte ont déclaré jeudi que les données collectées par un groupe non attribué qu’ils appellent UAT-10608 étaient allées dans une base de données protégée par mot de passe derrière une application Web. Cependant, cette application a été exposée à un moment donné, permettant aux chercheurs de voir les données collectées à partir de systèmes compromis.
Les informations d’identification, ainsi que les jetons d’authentification et bien plus encore, qui ont été volés jusqu’à présent proviennent d’instances d’AWS, Microsoft Azure, OpenAI, Anthropic, Nvidia NIM, OpenRouter, Tavily, du processeur de paiement Stripe et GitHub.
L’application Web permet à un utilisateur de parcourir tous les hôtes compromis. Un hôte donné peut alors être sélectionné, faisant apparaître un menu avec toutes les données exfiltrées correspondant à chaque phase du script de récolte – un bonus pour les chercheurs.
Cette découverte est l’une des principales raisons pour lesquelles les professionnels de l’informatique disposant de serveurs React dans leur environnement et qui n’ont pas encore corrigé cette vulnérabilité doivent agir rapidement, avant que les informations d’identification de l’entreprise ne soient volées. Pour aider à atténuer l’attaque, les victimes et les fournisseurs de services disposant d’informations d’identification exposées et à risque, notamment AWS et GitHub, sont informés.
Une statistique notable : le cadre d’exploitation et de récolte automatisé a réussi à compromettre 766 hôtes sur une période de 24 heures.
Les applications Next.js sont vulnérables à CVE-2025-55182, une vulnérabilité d’exécution de code à distance de pré-authentification connue sous le nom de React2Shell. Un correctif a été publié il y a quatre mois.
Attaque en plusieurs phases
Une fois qu’un hôte est compromis, la campagne déploie un outil de collecte d’informations d’identification en plusieurs phases qui collecte les noms d’utilisateur, les mots de passe, les clés SSH, les jetons cloud et les secrets d’environnement, à grande échelle.
« L’étendue de l’ensemble des victimes et le modèle de ciblage aveugle sont cohérents avec l’analyse automatisée », explique Cisco Talos, « probablement basé sur les données de profil d’hôte provenant de services comme Shodan, Censys ou de scanners personnalisés pour énumérer les déploiements Next.js accessibles au public et les sonder pour les vulnérabilités de configuration React décrites. »
L’attaquant crée une charge utile sérialisée malveillante conçue pour abuser de la routine de désérialisation, une technique couramment utilisée pour déclencher une instanciation d’objet arbitraire ou un appel de méthode sur un serveur. La charge utile est envoyée via une requête HTTP directement à un point de terminaison de fonction serveur ; aucune authentification n’est requise. Le serveur désérialise la charge utile malveillante, ce qui entraîne l’exécution de code arbitraire dans le processus Node.js côté serveur.
L’exploit React initial fournit un petit compte-gouttes qui récupère et exécute un script de récolte en plusieurs phases. Lors de son exécution, le script de récolte passe par plusieurs phases pour collecter diverses données du système compromis, qui sont ensuite téléchargées sur un serveur de commande et de contrôle où elles sont chargées dans une base de données.
Échelle industrielle
Les attaquants opèrent à l’échelle industrielle, a-t-il ajouté. Des plateformes comme Shodan et Censys indexent déjà une grande partie d’Internet, ce qui rend les systèmes vulnérables faciles à trouver. Avec l’espace IP limité, une analyse complète peut être effectuée en moins d’une heure, même sur les ordinateurs/connexions Internet modernes les plus modestes.
« Il n’y a plus d’obscurité significative pour les systèmes exposés », a-t-il ajouté. « Pour être honnête, il n’y en a jamais eu vraiment. »
« L’attaque a commencé lorsque vous n’avez pas réussi à mettre à jour le correctif »
Le résultat est prévisible, a déclaré Moody : les systèmes non corrigés ne sont pas « à risque », ils sont dans une file d’attente. La découverte est rapide, l’exploitation est rapide et la compromission est souvent automatisée de bout en bout. « React2Shell est un exemple parfait de la rapidité avec laquelle les attaquants peuvent transformer un problème connu en une source de revenus durable et le faire persister pendant de longues périodes en raison de la complaisance de l’administrateur », a-t-il déclaré.
« Ce qui se passe après l’accès initial est encore plus préoccupant », a-t-il ajouté. « La collecte d’identifiants prolonge la durée de vie de l’attaque bien au-delà de la vulnérabilité d’origine. Même si les systèmes sont corrigés plus tard, les identifiants volés peuvent permettre la persistance, le mouvement latéral et, par conséquent, signifie que l’attaque a commencé lorsque vous n’avez pas réussi à appliquer le correctif. Une erreur peut se transformer en une erreur en un instant, avec des informations comme celle-ci entre de mauvaises mains. Les dégâts pourraient être absolus, sans aucune récupération possible. Les entreprises ont échoué pour moins cher. La fin ne sera certainement pas lorsque le correctif sera appliqué, à moins que vous ne l’ayez obtenu avant d’être compromis.
« Traitez votre patch comme un mal de dents », a-t-il conseillé. « Au premier signe, résolvez-le le plus vite possible, sinon la misère s’ensuit. »
