Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng quy mô lớn vừa được phát hiện khi tin tặc lợi dụng lỗ hổng nghiêm trọng CVE-2025-55182 để xâm nhập hàng trăm máy chủ chạy Next.js, qua đó đánh cắp nhiều dữ liệu nhạy cảm.
Theo các chuyên gia từ Cisco Talos, ít nhất 766 máy chủ trên toàn cầu đã bị ảnh hưởng. Hoạt động này được cho là liên quan đến nhóm tin tặc mang mã định danh UAT-10608, với phương thức tấn công khai thác lỗ hổng để thực thi mã từ xa và giành quyền kiểm soát hệ thống.
Sau khi xâm nhập, tin tặc triển khai các công cụ tự động nhằm thu thập thông tin từ máy chủ nạn nhân. Dữ liệu bị đánh cắp bao gồm khóa SSH, biến môi trường, lịch sử lệnh, cấu hình Docker, token Kubernetes cũng như thông tin xác thực từ các nền tảng đám mây như Amazon Web Services. Ngoài ra, các khóa API của dịch vụ thanh toán Stripe, cùng token từ GitHub và nhiều dịch vụ bên thứ ba khác cũng nằm trong danh sách bị thu thập.
Toàn bộ dữ liệu này được chuyển về hệ thống điều khiển trung tâm thông qua một công cụ có tên NEXUS Listener. Công cụ này cung cấp giao diện quản lý dạng web, cho phép tin tặc theo dõi, phân tích và tìm kiếm thông tin đánh cắp một cách có hệ thống.
Các chuyên gia nhận định chiến dịch mang tính chất quét tự động trên diện rộng, không nhắm vào mục tiêu cụ thể. Tin tặc có thể đã sử dụng các công cụ tìm kiếm thiết bị kết nối internet để phát hiện các máy chủ Next.js chưa được vá lỗi, từ đó tiến hành khai thác hàng loạt.
Mối nguy không chỉ dừng lại ở việc rò rỉ dữ liệu. Những thông tin thu thập được còn có thể được sử dụng để thực hiện các cuộc tấn công tiếp theo, lừa đảo có chủ đích hoặc thậm chí bị rao bán trên các diễn đàn ngầm.
Trước tình hình này, các tổ chức được khuyến cáo cần nhanh chóng cập nhật bản vá cho lỗ hổng, rà soát hệ thống, thay đổi thông tin đăng nhập nếu cần thiết và áp dụng các biện pháp bảo mật như phân quyền tối thiểu, không tái sử dụng khóa SSH và tăng cường giám sát hạ tầng.
Theo các chuyên gia từ Cisco Talos, ít nhất 766 máy chủ trên toàn cầu đã bị ảnh hưởng. Hoạt động này được cho là liên quan đến nhóm tin tặc mang mã định danh UAT-10608, với phương thức tấn công khai thác lỗ hổng để thực thi mã từ xa và giành quyền kiểm soát hệ thống.
Sau khi xâm nhập, tin tặc triển khai các công cụ tự động nhằm thu thập thông tin từ máy chủ nạn nhân. Dữ liệu bị đánh cắp bao gồm khóa SSH, biến môi trường, lịch sử lệnh, cấu hình Docker, token Kubernetes cũng như thông tin xác thực từ các nền tảng đám mây như Amazon Web Services. Ngoài ra, các khóa API của dịch vụ thanh toán Stripe, cùng token từ GitHub và nhiều dịch vụ bên thứ ba khác cũng nằm trong danh sách bị thu thập.
Toàn bộ dữ liệu này được chuyển về hệ thống điều khiển trung tâm thông qua một công cụ có tên NEXUS Listener. Công cụ này cung cấp giao diện quản lý dạng web, cho phép tin tặc theo dõi, phân tích và tìm kiếm thông tin đánh cắp một cách có hệ thống.
Các chuyên gia nhận định chiến dịch mang tính chất quét tự động trên diện rộng, không nhắm vào mục tiêu cụ thể. Tin tặc có thể đã sử dụng các công cụ tìm kiếm thiết bị kết nối internet để phát hiện các máy chủ Next.js chưa được vá lỗi, từ đó tiến hành khai thác hàng loạt.
Mối nguy không chỉ dừng lại ở việc rò rỉ dữ liệu. Những thông tin thu thập được còn có thể được sử dụng để thực hiện các cuộc tấn công tiếp theo, lừa đảo có chủ đích hoặc thậm chí bị rao bán trên các diễn đàn ngầm.
Trước tình hình này, các tổ chức được khuyến cáo cần nhanh chóng cập nhật bản vá cho lỗ hổng, rà soát hệ thống, thay đổi thông tin đăng nhập nếu cần thiết và áp dụng các biện pháp bảo mật như phân quyền tối thiểu, không tái sử dụng khóa SSH và tăng cường giám sát hạ tầng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview