Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Vulnerabilitat Vulnerabilitat de React2Shell

Vulnerabilitat de React2Shell

El Mezo el Vulnerabilitat, Amenaça persistent avançada (APT), Programari maliciós
Traduir a:

Investigadors de seguretat han confirmat que la vulnerabilitat crítica coneguda com a React2Shell està sent utilitzada activament per múltiples actors d'amenaces per comprometre els sistemes basats en Linux. La falla s'està aprofitant per implementar diverses famílies de programari maliciós, sobretot KSwapDoor i ZnDoor, permetent un accés profund i persistent als entorns afectats. L'explotació contínua destaca la rapidesa amb què les fallades d'alt impacte de les aplicacions s'operativitzen un cop descobertes.

KSwapDoor: Una porta del darrere de Linux centrada en la furtivitat

KSwapDoor és una eina d'accés remot dissenyada amb cura per romandre oculta durant llargs períodes. Estableix una xarxa interna de malla que permet als servidors infectats comunicar-se entre si, ajudant els atacants a eludir les defenses perimetrals i mantenir la resiliència si els nodes individuals estan bloquejats. El trànsit de la seva xarxa està protegit amb un xifratge fort, cosa que dificulta significativament la inspecció i la detecció. Una de les seves capacitats més preocupants és un estat latent o "dorment", que permet que el programari maliciós romangui inactiu fins que rep un activador encobert que el reactiva, evitant eficaçment els controls del tallafocs.

Els investigadors van aclarir que KSwapDoor havia estat identificat erròniament com a BPFDoor. En realitat, és una porta del darrere de Linux que admet accés interactiu a l'intèrpret d'ordres, execució arbitrària d'ordres, manipulació d'arxius i escaneig d'oportunitats de moviment lateral. Per integrar-se encara més, es disfressa de daemon d'intercanvi legítim del nucli de Linux, reduint la probabilitat de despertar sospites durant la supervisió rutinària del sistema.

Campanyes de ZnDoor dirigides a organitzacions japoneses

En paral·lel, organitzacions al Japó han estat objectiu d'atacs que exploten React2Shell per lliurar ZnDoor. Aquest troià d'accés remot s'ha observat en activitat real des d'almenys el desembre de 2023. Aquestes intrusions solen començar amb una simple ordre bash que recupera la càrrega útil d'un servidor remot a 45.76.155.14 mitjançant wget i després l'executa localment.

Un cop instal·lat, ZnDoor es connecta de nou a la infraestructura controlada per l'atacant per rebre instruccions i actuar en conseqüència. La seva funcionalitat és àmplia i permet un control total sobre l'amfitrió compromès, tal com s'il·lustra amb el conjunt d'ordres compatibles següent:

  • shell i interactive_shell per a l'execució directa d'ordres i l'accés interactiu
  • explorer, explorer_cat, explorer_delete, explorer_upload i explorer_download per a operacions amb fitxers i directoris
  • sistema per recollir informació de l'amfitrió
  • change_timefile per modificar les marques de temps dels fitxers
  • socket_quick_startstreams per iniciar un proxy SOCKS5
  • start_in_port_forward i stop_in_port per gestionar el reenviament de ports

CVE-2025-55182 i armament multigrupal

L'activitat més àmplia coincideix amb l'explotació generalitzada de CVE-2025-55182, una vulnerabilitat de React2Shell a la qual s'ha assignat una puntuació CVSS màxima de 10.0. S'ha observat que almenys cinc grups d'amenaces alineats amb la Xina utilitzen aquesta falla com a armes per distribuir una gamma diversa de càrregues útils, incloent-hi eines de túnel, descarregadors i múltiples portes del darrere de Linux. Entre aquests hi havia MINOCAT, SNOWLIGHT, COMPOOD, una variant actualitzada de HISONIC que es barreja amb el trànsit legítim mitjançant Cloudflare Pages i GitLab, i una versió Linux d'ANGRYREBEL, també coneguda com a Noodle RAT.

Abús postexplotació i diversitat de càrrega útil

Després d'obtenir l'execució inicial de codi, els atacants solen executar ordres arbitràries per aprofundir la seva presència. Això inclou establir shells inversos a la infraestructura coneguda de Cobalt Strike, implementar eines de monitorització i gestió remotes com ara MeshAgent, modificar el fitxer authorized_keys i habilitar els inicis de sessió directes com a root. Altres càrregues útils observades durant aquestes operacions inclouen VShell, EtherRAT, ShadowPad, XMRig i implementacions repetides de SNOWLIGHT.

Per evitar la detecció, les campanyes sovint es basen en punts finals de Cloudflare Tunnel sota el domini trycloudflare.com, permetent que el trànsit de comandament i control es barregi amb els serveis legítims. A continuació, es duu a terme un reconeixement exhaustiu per cartografiar l'entorn, admetre el moviment lateral i identificar credencials valuoses.

Recollida de credencials al núvol i descobriment de secrets

Un dels principals objectius d'aquests atacs és el robatori de credencials en entorns de núvol. S'ha observat que actors amenaçadors consulten serveis de metadades d'instàncies per a Azure, AWS, Google Cloud Platform i Tencent Cloud en un esforç per obtenir tokens d'identitat i ampliar el seu accés. També implementen eines d'escaneig de secrets com ara TruffleHog i Gitleaks, juntament amb scripts personalitzats, per extreure material sensible. Això inclou intents de robar credencials d'IA i natives del núvol com ara claus d'API d'OpenAI, tokens de Databricks, secrets de comptes de servei de Kubernetes i tokens d'accés obtinguts a través de les eines de la CLI d'Azure i les eines de la CLI per a desenvolupadors d'Azure.

Explotació i exfiltració de dades de Next.js

En una campanya relacionada, els investigadors van documentar l'explotació de múltiples defectes de Next.js, incloent-hi CVE-2025-29927 i CVE-2025-66478, aquest últim un identificador anterior per al mateix problema de React2Shell. Aquests atacs es van centrar en l'extracció sistemàtica de fitxers de configuració, variables d'entorn, claus SSH, credencials al núvol, dades d'autenticació de Git, historial d'ordres de shell i fitxers de sistema sensibles com ara passwd i shadow. El programari maliciós també estableix persistència, instal·la un proxy SOCKS5, obre un shell invers a 67.217.57.240 al port 888 i implementa un escàner React per cercar a Internet objectius vulnerables addicionals.

Operació PCPcat: Escala i impacte

Es creu que l'activitat combinada, rastrejada sota el nom d'Operació PCPcat, ja ha compromès 59.128 servidors. Els analistes avaluen la campanya com a indicativa de recopilació d'intel·ligència a gran escala i exfiltració de dades industrialitzada. Les mesures actuals suggereixen que més d'111.000 adreces IP continuen sent vulnerables a l'explotació de React2Shell, amb la concentració més alta als Estats Units, seguits d'Alemanya, França i l'Índia. La telemetria recopilada indica a més que centenars d'adreces IP malicioses en regions com els EUA, l'Índia, el Regne Unit, Singapur i els Països Baixos han participat activament en intents d'explotació en un sol període de 24 hores.

Tendència

Més vist

Carregant...