Next.js: 48小时内5.9万台服务器被攻陷 - 我攻入了攻击者的C2服务器,以下是我的发现
严重性: 中 类型: 漏洞 CVE: CVE-2025-29927
一场名为“Operation PCPcat”的大规模凭证窃取行动,通过利用两个远程代码执行漏洞(CVE-2025-29927 和 CVE-2025-66478),在48小时内攻陷了大约59,000台 Next.js 服务器。攻击者提取了敏感文件,如 .env、SSH密钥和云凭证,安装了持久后门,并且其运营的命令与控制(C2)基础设施被公开暴露,泄露了活动的实时指标。在生产环境中运行 Next.js 的组织应立即修补易受攻击的系统,并轮换所有可能已泄露的凭证。攻击链包括漏洞利用、数据外泄和后门安装,并提供了详细的入侵指标(IoC)和检测规则。由于攻击规模和目标敏感性数据,该活动构成中等严重性威胁,但可能产生广泛影响。使用 Next.js 的欧洲组织,尤其是在现代Web框架采用率高的国家,面临风险。
技术总结
被命名为“Operation PCPcat”的威胁针对 Next.js 部署,通过利用两个被识别为 CVE-2025-29927 和 CVE-2025-66478 的远程代码执行(RCE)漏洞。这些漏洞允许攻击者在易受攻击的服务器上执行任意代码,使他们能够提取敏感的配置文件,如 .env 文件(通常包含数据库凭证、API密钥和密钥等环境变量)。此外,攻击者还收集用于 AWS、Docker 和 Git 仓库等云服务的 SSH 密钥和凭证,以方便横向移动和持久化。在初始利用之后,攻击者会安装持久后门以维持长期访问权限。攻击者的命令与控制(C2)基础设施被发现可公开访问,其中包括一个显示活动实时指标的 /stats 端点,这表明攻击者方面存在操作安全失误。该活动是通过 Beelzebub 研究的蜜罐监控发现的,该监控捕获了攻击流量,并能够进行详细的攻击链分析,包括用于 Suricata 和 YARA 的入侵指标(IoCs)和检测规则。虽然没有分配 CVSS 分数,但该活动的规模——48小时内5.9万台服务器被攻陷——证明了其快速利用和广泛影响。威胁行为者还维护着用于协调或信息传播的 Telegram 频道。缺乏补丁链接表明组织必须紧急寻求针对这些 CVE 的供应商更新或缓解措施。该活动凸显了保护 Next.js 部署、在受感染后轮换凭证以及利用网络检测能力来识别恶意活动的迫切需要。
潜在影响 对于欧洲组织而言,由于 Next.js 在金融、电子商务和公共服务等各个领域的现代Web应用程序中被广泛使用,此活动的影响是重大的。环境变量、SSH密钥和云凭证的窃取可能导致对内部系统的未经授权访问、数据泄露以及潜在的勒索软件部署。持久后门增加了长期未被发现的泄露风险,使攻击者能够外泄敏感数据或中断服务。云凭证的暴露可能导致云资源滥用、财务损失以及公司网络内进一步的横向攻击。鉴于此次泄露的规模,组织可能面临声誉损害、因数据泄露而受到的GDPR监管处罚以及运营中断。公开暴露的C2基础设施也表明攻击者可能不那么谨慎,这可能增加防御者检测和响应的机会。然而,快速的利用窗口意味着如果未能及时应用补丁和缓解措施,许多组织可能已经遭到入侵。依赖 Next.js 处理面向客户或内部应用程序的欧洲实体必须假设存在潜在入侵风险,并进行彻底的事件响应。
缓解建议
- 立即识别并修补所有易受 CVE-2025-29927 和 CVE-2025-66478 攻击的 Next.js 部署,应用供应商提供的更新或推荐的安全修复程序。
- 轮换攻击窗口期内可能暴露的所有凭证,包括数据库密码、API密钥、SSH密钥和云服务凭证(AWS、Docker、Git)。
- 对受影响系统进行全面取证分析,以识别入侵指标、后门和横向移动迹象。
- 根据提供的 Suricata 和 YARA 签名部署和调整检测规则,以监控网络和主机活动是否存在漏洞利用或C2通信的迹象。
- 通过执行最小权限原则和安全存储实践,限制对
.env和 SSH 密钥等敏感文件的访问。 - 强化 Next.js 服务器配置,禁用不必要的服务,并实施应用层防火墙以减少攻击面。
- 监控网络流量中是否存在不寻常的出站连接,尤其是连接到已知C2基础设施或与威胁行为者相关的 Telegram 频道。
- 对开发和运维团队进行关于 Next.js 应用程序安全编码和部署实践的培训。
- 建立专门针对涉及凭证窃取和后门的 Web 应用程序入侵的事件响应计划。
- 与网络安全威胁情报提供商合作,及时了解与此活动相关的不断演变的策略。
受影响国家 德国、法国、英国、荷兰、瑞典、意大利、西班牙、波兰
来源: Reddit NetSec 发布时间: 2025年12月15日 星期一