Campaña masiva aprovecha CVE-2025-55182 para comprometer 766 hosts Next.js y robar credenciales

abril 3, 2026

Campaña masiva aprovecha CVE-2025-55182 para comprometer 766 hosts Next.js y robar credenciales

Resumen del incidente

Se ha detectado una operación de recolección de credenciales a gran escala que explota la vulnerabilidad conocida como React2Shell (CVE-2025-55182) como vector inicial de compromiso. Según el informe original, el ataque afectó a 766 hosts que ejecutaban aplicaciones Next.js y permitió a los atacantes exfiltrar diversa información sensible, entre la que se incluyen:

  • Credenciales de bases de datos.
  • Claves privadas SSH.
  • Secretos de Amazon Web Services (AWS).
  • Historial de comandos de shell.
  • Claves de la API de Stripe.
  • Tokens de GitHub.

Cisco Talos ha atribuido la operación a un clúster de amenazas que rastrea; el análisis detectó el uso de React2Shell como puerta de entrada para desplegar herramientas de recolección y exfiltración de secretos.

Contexto y antecedentes

La explotación de vulnerabilidades en bibliotecas y marcos de trabajo web sigue siendo un vector eficaz para comprometer infraestructuras a escala. React2Shell se convirtió en una vulnerabilidad crítica precisamente por permitir ejecución remota o escape de contenedores en entornos donde no se habían aplicado mitigaciones. Este tipo de fallos se vuelve especialmente peligroso cuando se combinan con prácticas inseguras de gestión de secretos —por ejemplo, almacenamiento de tokens o claves en el sistema de archivos de servidores de producción o en artefactos de despliegue—.

Casos previos de gran impacto, como Log4Shell (CVE-2021-44228), demostraron que un fallo en una librería ampliamente usada puede ser explotado rápidamente para comprometer miles o millones de hosts. La diferencia crítica en el incidente actual es el enfoque deliberado en la recolección de credenciales y secretos en lugar de actividades meramente destructivas o de cifrado masivo.

Análisis técnico y comentarios para operadores

Desde una perspectiva técnica, los elementos clave que permiten este tipo de operaciones suelen combinarse de la siguiente manera:

  • Vector inicial: aprovechamiento de CVE-2025-55182 (React2Shell) para ejecutar código o comandos en el host comprometido.
  • Reconocimiento post-explotación: enumeración de rutas comunes donde se almacenan credenciales y claves, lectura de archivos de configuración, historial de shell (~/.bash_history, ~/.zsh_history) y credenciales en repositorios locales.
  • Exfiltración: empaquetado y transmisión segura o encubierta de secretos hacia servidores bajo control del atacante.
  • Persistencia y expansión: uso de credenciales obtenidas (tokens GitHub, claves SSH, secretos AWS) para acceder a otros sistemas y aumentar el alcance del compromiso.

La combinación de una vulnerabilidad de ejecución remota en un framework web y prácticas de gestión de secretos laxas crea un riesgo sistémico que facilita campañas de robo de credenciales a escala.

Recomendaciones técnicas para equipos de seguridad y operadores:

  • Aplicar parches inmediatamente: actualizar Next.js, dependencias y cualquier componente asociado que corrija CVE-2025-55182.
  • Auditar almacenamiento de secretos: buscar tokens, claves y secretos en el sistema de archivos, variables de entorno y repositorios. Emplear herramientas de detección automáticas (scanners de secretos) para análisis masivos.
  • Rotación y revocación: rotar y revocar claves y tokens potencialmente expuestos (AWS IAM keys, claves SSH, tokens de terceros como Stripe y GitHub).
  • Reforzar el control de acceso: revisar políticas IAM, aplicar el principio de menor privilegio y habilitar MFA para accesos administrativos y consolas en la nube.
  • Monitoreo y detección: desplegar reglas de detección para actividad inusual de exfiltración, conexiones salientes a dominios desconocidos y usos atípicos de API keys.
  • Entornos efímeros y secretos gestionados: migrar a soluciones de gestión de secretos (Vault, AWS Secrets Manager, Azure Key Vault) y evitar la persistencia de claves en imágenes o repositorios.

Casos comparables y estadísticas relevantes

Los ataques centrados en la recolección de credenciales no son nuevos, pero su frecuencia y eficacia han aumentado a medida que las infraestructuras migran a arquitecturas basadas en la nube y contenedores. Puntos de referencia y comparaciones útiles:

  • Log4Shell (2021) demostró la rapidez con la que se explota una vulnerabilidad ampliamente usada; muchos incidentes posteriores también se centraron en la extracción de secretos para escalar compromisos.
  • Campañas de cryptojacking y minería de datos observadas en años recientes a menudo empezaban con la explotación de vulnerabilidades web para ejecutar binarios que buscaban credenciales de servicios en la nube.
  • Estudios industriales y reportes de seguridad periódicos indican que la exposición de claves y secretos en repositorios y archivos de configuración sigue siendo una de las causas principales de incidentes en aplicaciones web.

Estas comparaciones subrayan que, salvo una respuesta rápida y coordinada, una vulnerabilidad explotable en un marco popular puede derivar en un compromiso de múltiples capas y en robo de activos críticos para la continuidad del negocio.

Riesgos e implicaciones

Las implicaciones para organizaciones afectadas o en riesgo son variadas y pueden incluir:

  • Acceso a datos sensibles: bases de datos comprometidas pueden filtrar PII, registros financieros o propiedad intelectual.
  • Despliegue lateral en infraestructuras en la nube: secretos AWS comprometidos permiten crear instancias, acceder a S3, o manipular servicios gestionados.
  • Compromiso de repositorios de código: tokens de GitHub pueden permitir exfiltrar código fuente o insertar puertas traseras en pipelines de CI/CD.
  • Impacto reputacional y regulatorio: filtraciones de datos y violaciones de seguridad pueden derivar en multas y pérdida de confianza de clientes.
  • Costes operativos y de recuperación: investigación forense, rotación masiva de credenciales y restauración de sistemas generan gastos directos e indirectos.

Además, la disponibilidad de credenciales como claves privadas o API keys en manos de atacantes puede convertirse en un recurso reutilizable para campañas futuras, haciendo que el incidente inicial sea solo la primera fase de un compromiso más amplio.

Conclusión

La explotación de CVE-2025-55182 y la consiguiente recolección masiva de credenciales en 766 hosts Next.js ilustra la convergencia entre vulnerabilidades en frameworks web y malas prácticas de gestión de secretos. Para reducir el riesgo es imprescindible aplicar parches con rapidez, auditar y rotar secretos, fortalecer controles de acceso y desplegar detección centrada en exfiltración y uso indebido de credenciales. La respuesta temprana y coordinada entre equipos de desarrollo, operaciones y seguridad es crítica para contener el daño y prevenir la expansión del compromiso.

Source: thehackernews.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

Exploit en 36 horas: SQL injection crítico en LiteLLM (CVE-2026-42208)
Noticias Ciberseguridad
Fallo en creación de cuentas de Robinhood utilizado para inyectar correos de phishing
Noticias Ciberseguridad
Explotación activa de una vulnerabilidad de subida de archivos en el plugin Breeze Cache para WordPress
Noticias Ciberseguridad
Apple corrige fallo en iOS que retenía notificaciones supuestamente eliminadas
Noticias Ciberseguridad