Rabattilbud med flere licenser
Trusseldatabase Sårbarhed React2Shell-sårbarhed

React2Shell-sårbarhed

Med Mezo i Sårbarhed, Advanced Persistent Threat (APT), Malware
Oversæt til:

Sikkerhedsforskere har bekræftet, at den kritiske sårbarhed kendt som React2Shell aktivt misbruges af flere trusselsaktører til at kompromittere Linux-baserede systemer. Fejlen udnyttes til at implementere adskillige malware-familier, især KSwapDoor og ZnDoor, hvilket muliggør dyb og vedvarende adgang til berørte miljøer. Den igangværende udnyttelse fremhæver, hvor hurtigt alvorlige applikationsfejl operationaliseres, når de først er blevet afsløret.

KSwapDoor: En stealth-fokuseret Linux-bagdør

KSwapDoor er et omhyggeligt konstrueret fjernadgangsværktøj, der er bygget til at forblive skjult i lange perioder. Det etablerer et internt mesh-netværk, der giver inficerede servere mulighed for at kommunikere med hinanden, hvilket hjælper angriberne med at omgå perimeterforsvar og opretholde modstandsdygtighed, hvis individuelle noder blokeres. Dets netværkstrafik er beskyttet med stærk kryptering, hvilket gør inspektion og detektion betydeligt vanskeligere. En af dets mest bekymrende funktioner er en inaktiv tilstand eller "sovende" tilstand, som tillader malwaren at forblive inaktiv, indtil den modtager en skjult trigger, der genaktiverer den og effektivt omgår firewallkontroller.

Forskere præciserede, at KSwapDoor tidligere var blevet fejlagtigt identificeret som BPFDoor. I virkeligheden er det en Linux-bagdør, der understøtter interaktiv shell-adgang, vilkårlig kommandoudførelse, filmanipulation og scanning for laterale bevægelsesmuligheder. For yderligere at blande sig ind i systemet forklæder den sig som en legitim Linux-kerne-swap-daemon, hvilket reducerer sandsynligheden for at vække mistanke under rutinemæssig systemovervågning.

ZnDoor-kampagner rettet mod japanske organisationer

Parallelt har organisationer i Japan været mål for angreb, der udnytter React2Shell til at levere ZnDoor. Denne fjernadgangstrojan er blevet observeret i den virkelige verden siden mindst december 2023. Disse indtrængen starter typisk med en simpel bash-kommando, der henter nyttelasten fra en fjernserver på 45.76.155.14 ved hjælp af wget og derefter udfører den lokalt.

Når ZnDoor er installeret, opretter den forbindelse tilbage til den angriberkontrollerede infrastruktur for at modtage instruktioner og handle på dem. Dens funktionalitet er bred og giver fuld kontrol over den kompromitterede vært, som illustreret af det understøttede kommandosæt nedenfor:

  • shell og interactive_shell til direkte kommandoudførelse og interaktiv adgang
  • explorer, explorer_cat, explorer_delete, explorer_upload og explorer_download til fil- og mappeoperationer
  • system til indsamling af værtsinformation
  • change_timefile for at ændre filens tidsstempler
  • socket_quick_startstreams for at starte en SOCKS5 proxy
  • start_in_port_forward og stop_in_port til at administrere portvideresendelse

CVE-2025-55182 og bevæbning af flere grupper

Den bredere aktivitet falder sammen med udbredt udnyttelse af CVE-2025-55182, en React2Shell-sårbarhed tildelt en maksimal CVSS-score på 10,0. Mindst fem trusselsgrupper med tilknytning til Kina er blevet observeret, der udnytter denne fejl som våben til at distribuere en bred vifte af nyttelast, herunder tunnelværktøjer, downloadere og flere Linux-bagdøre. Blandt disse var MINOCAT, SNOWLIGHT, COMPOOD, en opdateret HISONIC-variant, der integreres i legitim trafik ved hjælp af Cloudflare Pages og GitLab, og en Linux-version af ANGRYREBEL, også kendt som Noodle RAT.

Misbrug efter udnyttelse og nyttelastdiversitet

Efter at have opnået den indledende kodeudførelse, kører angribere ofte vilkårlige kommandoer for at styrke deres fodfæste. Dette inkluderer etablering af reverse shells til kendt Cobalt Strike-infrastruktur, implementering af fjernovervågnings- og administrationsværktøjer som MeshAgent, ændring af authorized_keys-filen og aktivering af direkte root-login. Yderligere nyttelast set under disse operationer inkluderer VShell, EtherRAT, ShadowPad, XMRig og gentagne implementeringer af SNOWLIGHT.

For at undgå at blive opdaget, bruger kampagnerne ofte Cloudflare Tunnel-slutpunkter under domænet trycloudflare.com, hvilket giver kommando- og kontroltrafik mulighed for at blande sig med legitime tjenester. Omfattende rekognoscering udføres derefter for at kortlægge miljøet, understøtte lateral bevægelse og identificere værdifulde legitimationsoplysninger.

Høst af cloud-legitimationsoplysninger og hemmelig opdagelse

Et primært fokuspunkt for disse angreb er tyveri af legitimationsoplysninger i cloudmiljøer. Trusselaktører er blevet observeret, mens de forespørger på instansmetadatatjenester for Azure, AWS, Google Cloud Platform og Tencent Cloud i et forsøg på at få fat i identitetstokens og udvide deres adgang. De implementerer også værktøjer til scanning af hemmeligheder som TruffleHog og Gitleaks, sammen med brugerdefinerede scripts, for at udtrække følsomt materiale. Dette inkluderer forsøg på at stjæle AI- og cloud-native legitimationsoplysninger som OpenAI API-nøgler, Databricks-tokens, Kubernetes-servicekontohemmeligheder og adgangstokens indhentet via Azure CLI og Azure Developer CLI-værktøjer.

Next.js-udnyttelse og dataudvinding

I en relateret kampagne dokumenterede forskere udnyttelse af flere Next.js-fejl, herunder CVE-2025-29927 og CVE-2025-66478, hvor sidstnævnte var en tidligere identifikator for det samme React2Shell-problem. Disse angreb fokuserede på systematisk udtrækning af konfigurationsfiler, miljøvariabler, SSH-nøgler, cloud-legitimationsoplysninger, Git-godkendelsesdata, shell-kommandohistorik og følsomme systemfiler såsom passwd og shadow. Malwaren etablerer også persistens, installerer en SOCKS5-proxy, åbner en reverse shell til 67.217.57.240 på port 888 og implementerer en React-scanner til at søge på internettet efter yderligere sårbare mål.

Operation PCPcat: Omfang og effekt

Den samlede aktivitet, der spores under navnet Operation PCPcat, menes allerede at have kompromitteret 59.128 servere. Analytikere vurderer kampagnen som tegn på storstilet efterretningsindsamling og industrialiseret dataudvinding. Nuværende målinger tyder på, at mere end 111.000 IP-adresser fortsat er sårbare over for React2Shell-udnyttelse, med den højeste koncentration i USA, efterfulgt af Tyskland, Frankrig og Indien. Indsamlet telemetri indikerer yderligere, at hundredvis af ondsindede IP-adresser på tværs af regioner som USA, Indien, Storbritannien, Singapore og Holland aktivt har deltaget i udnyttelsesforsøg inden for en enkelt 24-timers periode.

Trending

Mest sete

Indlæser...