UAT-10608 Lance une Campagne d'Exploitation Automatisée de Next.js
Un groupe de menaces sophistiqué désigné UAT-10608 a lancé une campagne automatisée à grande échelle ciblant les applications Next.js vulnérables exposées à Internet. Les attaquants utilisent un outil personnalisé appelé React2Shell pour identifier, compromettre et exfiltrer systématiquement des données sensibles des applications web affectées. Les chercheurs en sécurité ont détecté cette campagne pour la première fois fin mars 2026, avec une activité augmentant significativement au cours de la première semaine d'avril.
Le cadre React2Shell représente une évolution significative dans l'exploitation automatisée des applications web. Contrairement aux scanners de vulnérabilités traditionnels qui se contentent d'identifier les faiblesses, cet outil combine reconnaissance, exploitation et exfiltration de données en un seul flux de travail automatisé. Les attaquants ciblent spécifiquement les applications Next.js en raison de leur adoption généralisée dans les environnements d'entreprise et des mauvaises configurations courantes qui laissent des points de terminaison sensibles exposés.
Selon l'analyse de BleepingComputer, la campagne fonctionne par un processus en plusieurs étapes. Tout d'abord, React2Shell effectue une reconnaissance automatisée pour identifier les applications Next.js en analysant les en-têtes de réponse HTTP, les frameworks JavaScript et les structures de fichiers spécifiques. L'outil sonde ensuite les vulnérabilités courantes, y compris la falsification de requêtes côté serveur (SSRF), la traversée de chemin et les points de terminaison API exposés qui fuient des variables d'environnement ou des fichiers de configuration.
Une fois qu'une application vulnérable est identifiée, React2Shell déploie automatiquement des charges utiles conçues pour extraire des identifiants, des clés API, des chaînes de connexion de base de données et d'autres données de configuration sensibles. L'outil cible spécifiquement les fichiers d'environnement Next.js, les répertoires de configuration et les vidages de mémoire qui contiennent souvent des secrets en texte clair. Le processus entier, de la reconnaissance initiale à l'exfiltration de données, se termine généralement en quelques minutes, rendant la détection difficile pour les organisations sans systèmes de surveillance robustes.
Le groupe UAT-10608 semble être motivé financièrement, avec des preuves suggérant qu'ils vendent les identifiants récoltés sur les marchés clandestins. Les chercheurs en sécurité ont observé le groupe cibler des organisations dans plusieurs secteurs, avec un accent particulier sur les plateformes de commerce électronique, les services financiers et les fournisseurs de logiciels en tant que service qui déploient couramment des applications Next.js pour leurs interfaces web.
Les Applications Next.js Font Face à un Risque d'Exposition Généralisée
Les organisations exécutant des applications Next.js exposées au web sont les principales cibles de cette campagne, avec un risque particulier pour celles utilisant les versions 12.0 à 14.1 qui contiennent des vulnérabilités ou des mauvaises configurations connues. L'outil React2Shell cible spécifiquement les applications avec des points de terminaison de développement exposés, une gestion des variables d'environnement mal configurée ou une validation d'entrée insuffisante sur les routes API. Les entreprises qui ont déployé des applications Next.js sans durcissement de sécurité approprié font face au plus grand risque de compromission.
La campagne montre une préférence claire pour cibler les environnements d'entreprise où les applications Next.js traitent des données commerciales sensibles. Les plateformes de commerce électronique utilisant Next.js pour leurs vitrines sont particulièrement vulnérables, car ces applications contiennent souvent des identifiants de traitement de paiement, des bases de données clients et des clés API tierces. Les organisations de services financiers qui ont adopté Next.js pour les portails clients ou les tableaux de bord internes représentent également des cibles de grande valeur pour le groupe UAT-10608.
Les petites et moyennes entreprises semblent être touchées de manière disproportionnée par cette campagne, probablement en raison de ressources de sécurité limitées et de capacités de surveillance moins complètes. Beaucoup de ces organisations déploient des applications Next.js avec des configurations par défaut qui laissent des points de terminaison sensibles accessibles, les rendant des cibles faciles pour des outils d'exploitation automatisés comme React2Shell. La nature mondiale de cette campagne signifie que les organisations de toutes les régions géographiques font face à une exposition potentielle, sans indication que les attaquants limitent leur portée à des pays ou régions spécifiques.
Les équipes de développement qui utilisent Next.js pour les environnements de production et de mise en scène font face à un risque supplémentaire, car React2Shell cible souvent les instances de développement qui contiennent des identifiants équivalents à la production mais manquent de contrôles de sécurité appropriés. Les organisations qui n'ont pas mis en œuvre une gestion appropriée des secrets ou continuent de stocker des données de configuration sensibles dans des fichiers d'environnement accessibles aux applications web sont particulièrement à risque d'exploitation réussie.
Se Défendre Contre React2Shell et l'Exploitation UAT-10608
Les organisations peuvent mettre en œuvre plusieurs mesures défensives immédiates pour se protéger contre les tentatives d'exploitation de React2Shell. Tout d'abord, les administrateurs devraient auditer toutes les applications Next.js pour les points de terminaison de développement exposés et les routes API qui pourraient divulguer des informations sensibles. Cela inclut la vérification des fichiers /.env accessibles, des points de terminaison /api/debug et de toutes les routes qui renvoient des données de configuration système sans authentification appropriée. Les applications Next.js devraient être configurées pour désactiver les fonctionnalités de mode développement dans les environnements de production et mettre en œuvre des contrôles d'accès stricts sur tous les points de terminaison API.
Les protections au niveau du réseau fournissent une autre couche de défense critique contre cette campagne automatisée. Les organisations devraient mettre en œuvre des pare-feu d'applications web (WAF) configurés pour détecter et bloquer les modèles de reconnaissance associés à React2Shell. Cela inclut la surveillance des requêtes séquentielles rapides vers les chemins de fichiers Next.js courants, des chaînes d'agent utilisateur inhabituelles associées aux outils automatisés, et des tentatives d'accès aux fichiers d'environnement ou aux répertoires de configuration. La limitation du débit sur les points de terminaison API peut également aider à empêcher les tentatives d'exploitation automatisées de réussir.
Une gestion appropriée des secrets représente la défense à long terme la plus efficace contre les attaques de récolte d'identifiants comme celles menées par UAT-10608. Les organisations devraient migrer toutes les données de configuration sensibles des fichiers d'environnement vers des solutions de gestion des secrets dédiées comme HashiCorp Vault, AWS Secrets Manager ou Azure Key Vault. Les applications Next.js devraient être configurées pour récupérer les secrets à l'exécution plutôt que de les stocker dans des fichiers de configuration accessibles. De plus, toutes les clés API et les identifiants de base de données devraient être immédiatement tournés en cas de suspicion de compromission.
Les équipes de sécurité devraient mettre en œuvre une surveillance complète des indicateurs d'activité de React2Shell, y compris les connexions réseau sortantes inhabituelles des serveurs web, les modèles d'accès aux fichiers inattendus, et les requêtes API qui tentent de récupérer des variables d'environnement ou des données de configuration. La recherche de SecurityWeek indique que les organisations avec des capacités de journalisation et de surveillance robustes peuvent détecter les tentatives d'exploitation de React2Shell dans les premières minutes d'une attaque, réduisant ainsi considérablement le potentiel d'exfiltration de données réussie.
