Volver al Hub

Campaña masiva de robo de credenciales en Next.js explota la vulnerabilidad CVE-2025-55182

Imagen generada por IA para: Campaña masiva de robo de credenciales en Next.js explota la vulnerabilidad CVE-2025-55182

Una operación sofisticada y extendida de robo de credenciales está explotando una vulnerabilidad específica en el popular framework React Next.js, poniendo en riesgo inmediato la infraestructura en la nube y los datos sensibles de cientos de organizaciones. La campaña, que se mantiene activa, aprovecha un error de configuración y divulgación de información catalogado como CVE-2025-55182 para saquear secretos de entorno de despliegues asegurados incorrectamente.

Análisis Técnico de la Explotación

El núcleo del ataque explota cómo Next.js maneja las variables de entorno y la información de depuración en ciertos escenarios de despliegue. En versiones y configuraciones afectadas, los endpoints de desarrollo o depuración del framework, que a veces se exponen inadvertidamente en builds de producción, pueden ser accedidos sin autenticación. Estos endpoints pueden filtrar el contenido de process.env u otros objetos de configuración en tiempo de ejecución.

Los atacantes están escaneando Internet en busca de aplicaciones Next.js con estos endpoints accesibles. Al encontrar un objetivo vulnerable, envían peticiones HTTP manipuladas a rutas como /_next/static/development/_ssgManifest.js o sondan rutas de depuración. Una explotación exitosa devuelve un payload JSON que contiene todas las variables de entorno de la aplicación. Esto a menudo incluye secretos altamente sensibles como:

  • AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY para acceso a recursos en la nube.
  • Cadenas DATABASE_URL con nombres de usuario, contraseñas y hostnames para instancias de PostgreSQL, MySQL o MongoDB.
  • GITHUB_TOKEN o secretos similares de CI/CD para acceder a repositorios privados.
  • STRIPE_SECRET_KEY y otras claves API de procesamiento de pagos.
  • Claves API internas, sales de encriptación y secretos JWT.

Los investigadores han confirmado el compromiso de al menos 766 hosts distintos, pero se cree que la escala real es mayor, identificándose nuevas víctimas diariamente. Los atacantes operan bots automatizados que realizan la reconocimiento inicial, la exfiltración y luego alimentan las credenciales robadas en sistemas secundarios para su validación y explotación.

La Cadena de Ataque y el Riesgo Escalado

El robo de estas credenciales no es el objetivo final, sino el comienzo de una cadena de ataque potencialmente devastadora. Las claves de AWS robadas se utilizan para desplegar operaciones de minería de criptomonedas, acceder a buckets S3 sensibles o desplegar más malware dentro del entorno cloud de una organización. Las credenciales de bases de datos conducen a la exfiltración directa de datos de usuarios (PII), que luego se venden en foros de la dark web. Los tokens de GitHub permiten a los atacantes inyectar código malicioso en repositorios de software, creando un ataque a la cadena de suministro de software. Las claves de Stripe permiten transacciones fraudulentas y robo financiero directo.

Esta campaña ejemplifica un cambio en el foco de los atacantes: desde vulnerabilidades tradicionales de capa de aplicación (como inyección SQL) hacia la explotación de configuraciones erróneas específicas del framework y la exposición indebida de secretos operativos. Apunta a la 'fontanería' de las aplicaciones web modernas: la infraestructura cloud-native y las herramientas DevOps que las impulsan.

Mitigación y Acciones Inmediatas

Los equipos de seguridad que utilizan Next.js deben tomar medidas urgentes:

  1. Auditoría de Versión y Configuración: Verifique inmediatamente que no está ejecutando una versión o configuración vulnerable. Asegúrese de que todas las funciones de desarrollo y depuración (NODE_ENV=development) estén estrictamente deshabilitadas en entornos de producción. Bloquee explícitamente el acceso público a las rutas internas de Next.js (/_next/, /__nextjs_*) mediante firewalls de aplicaciones web (WAF) o middleware, a menos que sea absolutamente necesario.
  2. Rotación de Credenciales: Asuma el compromiso. Rote cada secreto que podría haber sido expuesto en sus variables de entorno. Esto incluye todas las claves de proveedores cloud, contraseñas de bases de datos, tokens API y claves de encriptación. Trate esto como un procedimiento crítico de respuesta a incidentes.
  3. Seguridad del Entorno: Adopte una solución de gestión de secretos (por ejemplo, HashiCorp Vault, AWS Secrets Manager, Azure Key Vault). Nunca codifique secretos en variables de entorno ni los incluya en control de versiones. Utilice estos servicios para inyectar secretos de forma segura en tiempo de ejecución.
  4. Monitorización de Red: Implemente una monitorización estricta para detectar actividad anómala en APIs cloud, especialmente desde nuevas regiones IP o usando claves IAM recién creadas. Monitorice los logs de acceso a bases de datos en busca de conexiones desde fuentes no familiares.
  5. Aplicar Parches: Siga los avisos de seguridad de Next.js y aplique todos los parches recomendados. Los mantenedores del framework han publicado guías sobre cómo asegurar variables de entorno y deshabilitar la filtración de información de depuración.

Implicaciones más Amplias para DevSecOps

Este incidente sirve como un recordatorio contundente para la comunidad DevSecOps. La velocidad y automatización del desarrollo y despliegue modernos (CI/CD) a veces pueden superar las consideraciones de seguridad. La 'seguridad por defecto' debe ser un principio central para los desarrolladores de frameworks, mientras que los equipos operativos necesitan integrar el escaneo de seguridad para la exposición de secretos en sus pipelines de despliegue. Las evaluaciones regulares de superficie de ataque externa y el escaneo automatizado de este tipo de configuraciones erróneas específicas del framework son ahora componentes esenciales de una postura robusta de seguridad en la nube.

La campaña CVE-2025-55182 es una llamada de atención, que demuestra que en la era de la nube, una clave API expuesta puede ser tan catastrófica como un fallo de ejecución remota de código. Proteger los secretos en tiempo de ejecución de la aplicación es tan crítico como proteger su código.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

Hackers Exploit CVE-2025-55182 to Breach 766 Next.js Hosts, Steal Credentials

The Hacker News
Ver fuente

Adobe está a modificar os teus ficheiros de sistema em segredo?

Leak
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Vulnerabilidades
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.