Der Angriff beginnt laut Cisco Talos mit dem automatisierten Durchsuchen des Netzes nach verwundbaren Next.js-Anwendungen, die anschließend über die React2Shell-Schwachstelle kompromittiert werden. Auf den betroffenen Systemen platzieren die Angreifer im standardmäßigen temporären Verzeichnis ein Skript, das eine mehrstufige Routine zum Einsammeln von Zugangsdaten ausführt.

Die abgegriffenen Daten werden in einzelnen Teilstücken abgezogen. Jedes Teilstück gelangt über eine HTTP-Anfrage auf Port 8080 an einen Command-and-Control-Server, auf dem die NEXUS-Listener-Komponente läuft. Über diese Anwendung erhalten die Angreifer eine detaillierte Übersicht der gesammelten Daten, einschließlich Such-, Filter- und Statistikfunktionen.

Weil die Forscher Zugriff auf eine offene Instanz hatten, konnten sie die Statistiken des Werkzeugs einsehen. „Die Anwendung enthält eine Auflistung mehrerer Statistiken, darunter die Zahl der kompromittierten Hosts und die Gesamtzahl jedes Zugangsdatentyps, der erfolgreich von diesen Hosts extrahiert wurde", heißt es im Bericht von Cisco Talos aus dieser Woche. Demnach zeigt die Anwendung auch ihre eigene Laufzeit an: In diesem Fall gelang es dem automatisierten Framework, innerhalb von 24 Stunden 766 Hosts zu kompromittieren.

Die erbeuteten Geheimnisse erlauben es den Angreifern, Cloud-Konten zu übernehmen und auf Datenbanken, Zahlungssysteme und weitere Dienste zuzugreifen; zugleich öffnen sie die Tür für Angriffe auf Lieferketten. Erbeutete SSH-Schlüssel lassen sich für seitliche Bewegungen im Netz nutzen. Cisco weist zudem darauf hin, dass die kompromittierten Daten auch personenbezogene Angaben umfassen und die Betroffenen damit rechtlichen Folgen aus Verstößen gegen Datenschutzgesetze aussetzen.

Den Systemverantwortlichen empfehlen die Forscher, die Sicherheitsupdates für React2Shell einzuspielen, die serverseitige Datenoffenlegung zu prüfen und bei Verdacht auf eine Kompromittierung umgehend alle Zugangsdaten zu erneuern. Darüber hinaus raten sie dazu, AWS IMDSv2 zu erzwingen und mehrfach verwendete SSH-Schlüssel zu ersetzen. Ergänzend sollten Administratoren das Scannen nach Geheimnissen aktivieren, WAF- und RASP-Schutzmaßnahmen für Next.js einsetzen und über Container und Cloud-Rollen hinweg das Prinzip der geringsten Rechte durchsetzen, um die Auswirkungen zu begrenzen.