React2Shell sebezhetőség
Biztonsági kutatók megerősítették, hogy a React2Shell néven ismert kritikus sebezhetőséget számos kibertámadási szereplő aktívan kihasználja Linux-alapú rendszerek feltörésére. A hibát számos kártevőcsalád, nevezetesen a KSwapDoor és a ZnDoor telepítésére használják fel, lehetővé téve a mélyreható és tartós hozzáférést az érintett környezetekhez. A folyamatos kihasználás rávilágít arra, hogy a nagy hatású alkalmazáshibák milyen gyorsan operatívvá válnak a felfedezésüket követően.
Tartalomjegyzék
KSwapDoor: Egy rejtőzködésre összpontosító Linux hátsó ajtó
A KSwapDoor egy gondosan megtervezett távoli hozzáférési eszköz, amelyet úgy terveztek, hogy hosszú ideig rejtve maradjon. Egy belső hálót hoz létre, amely lehetővé teszi a fertőzött szerverek közötti kommunikációt, segítve a támadókat a külső védelem megkerülésében és a rugalmasság fenntartásában, ha az egyes csomópontok blokkolva vannak. Hálózati forgalmát erős titkosítás védi, ami jelentősen megnehezíti az ellenőrzést és az észlelést. Az egyik legaggasztóbb képessége az alvó vagy „alvó” állapot, amely lehetővé teszi, hogy a rosszindulatú program inaktív maradjon, amíg egy titkos triggert nem kap, amely újraaktiválja, hatékonyan megkerülve a tűzfal vezérlőit.
A kutatók tisztázták, hogy a KSwapDoor-t korábban tévesen BPFDoor-ként azonosították. Valójában egy Linux hátsó ajtóról van szó, amely támogatja az interaktív shell-hozzáférést, az önkényes parancsok végrehajtását, a fájlmanipulációt és az oldalirányú mozgási lehetőségek keresését. Hogy még jobban beleolvadjon a környezetbe, legitim Linux kernel swap démonnak álcázza magát, csökkentve a gyanú valószínűségét a rutinszerű rendszerfelügyelet során.
ZnDoor kampányok japán szervezeteket céloznak meg
Ezzel párhuzamosan japán szervezeteket céloztak meg olyan támadásokkal, amelyek a React2Shell segítségével juttatják el a ZnDoor vírust. Ezt a távoli hozzáférést biztosító trójai vírust legalább 2023 decembere óta figyelik meg valós tevékenységekben. Ezek a behatolások jellemzően egy egyszerű bash paranccsal kezdődnek, amely a wget segítségével lekéri a hasznos adatot egy távoli szerverről a 45.76.155.14 címen, majd helyben végrehajtja azt.
A telepítés után a ZnDoor visszacsatlakozik a támadó által ellenőrzött infrastruktúrához, hogy utasításokat fogadjon és azok alapján cselekedjen. Funkcionalitása széleskörű, és teljes körű irányítást biztosít a feltört gazdagép felett, amint azt az alábbi támogatott parancskészlet is szemlélteti:
- shell és interactive_shell a közvetlen parancsvégrehajtáshoz és az interaktív hozzáféréshez
- explorer, explorer_cat, explorer_delete, explorer_upload és explorer_download fájlok és könyvtárak műveleteihez
- rendszer a host információk gyűjtésére
- change_timefile a fájlok időbélyegeinek módosításához
- socket_quick_startstreams egy SOCKS5 proxy elindításához
- start_in_port_forward és stop_in_port a porttovábbítás kezeléséhez
CVE-2025-55182 és többcsoportos fegyverkezés
A szélesebb körű tevékenység egybeesik a CVE-2025-55182 nevű, maximum 10,0 CVSS pontszámmal rendelkező React2Shell sebezhetőség széles körű kihasználásával. Legalább öt, Kínához kötődő fenyegető csoportot figyeltek meg, akik ezt a hibát fegyverként használják különféle hasznos adatok terjesztésére, beleértve az alagútkezelő eszközöket, letöltőket és több Linux hátsó ajtót. Ezek között volt a MINOCAT, a SNOWLIGHT, a COMPOOD, egy frissített HISONIC variáns, amely a Cloudflare Pages és a GitLab segítségével beolvad a legitim forgalomba, valamint az ANGRYREBEL Linux verziója, más néven Noodle RAT.
Kizsákmányolás utáni visszaélések és a hasznos teher sokszínűsége
A kezdeti kódfuttatás megszerzése után a támadók általában tetszőleges parancsokat futtatnak, hogy elmélyítsék a pozíciójukat. Ez magában foglalja fordított shell-ek létrehozását az ismert Cobalt Strike infrastruktúrához, távoli felügyeleti és felügyeleti eszközök, például a MeshAgent telepítését, az authorized_keys fájl módosítását és közvetlen root bejelentkezések engedélyezését. Ezen műveletek során további hasznos programok is előfordultak, többek között a VShell, az EtherRAT, a ShadowPad, az XMRig, valamint a SNOWLIGHT ismételt telepítései.
A felderítés elkerülése érdekében a kampányok gyakran a trycloudflare.com domain alatt található Cloudflare Tunnel végpontokra támaszkodnak, lehetővé téve a parancs- és vezérlőforgalom összeolvadását a legitim szolgáltatásokkal. Ezután kiterjedt felderítést végeznek a környezet feltérképezése, az oldalirányú mozgás támogatása és az értékes hitelesítő adatok azonosítása érdekében.
Felhőalapú hitelesítő adatok begyűjtése és titkos információk felderítése
Ezen támadások egyik fő fókusza a felhőalapú környezetekben történő hitelesítő adatok ellopása. Megfigyelték, hogy a kiberfenyegető szereplők az Azure, az AWS, a Google Cloud Platform és a Tencent Cloud példánymetaadat-szolgáltatásait kérdezik le, hogy identitástokeneket szerezzenek és kibővítsék hozzáférésüket. Emellett titkoskereső eszközöket, például a TruffleHogot és a Gitleakset is bevetnek, valamint egyéni szkripteket az érzékeny anyagok kinyerésére. Ez magában foglalja a mesterséges intelligencián alapuló és felhőalapú hitelesítő adatok, például az OpenAI API-kulcsok, a Databricks-tokenek, a Kubernetes szolgáltatásfiók-titkok, valamint az Azure CLI és az Azure Developer CLI eszközökön keresztül megszerzett hozzáférési tokenek ellopására tett kísérleteket.
Next.js kihasználása és adatlopás
Egy kapcsolódó kampányban a kutatók több Next.js hiba kihasználását dokumentálták, beleértve a CVE-2025-29927 és a CVE-2025-66478 sérülékenységeket, amelyek közül az utóbbi egy korábbi azonosító volt ugyanarra a React2Shell problémára. Ezek a támadások a konfigurációs fájlok, környezeti változók, SSH-kulcsok, felhőalapú hitelesítő adatok, Git hitelesítési adatok, shell parancselőzmények és érzékeny rendszerfájlok, például a passwd és a shadow szisztematikus kinyerésére összpontosítottak. A rosszindulatú program emellett perzisztenciát is létrehoz, telepít egy SOCKS5 proxyt, megnyit egy fordított shell-t a 67.217.57.240-es címre a 888-as porton, és egy React szkennert telepít további sebezhető célpontok keresésére az interneten.
PCPcat hadművelet: Létszám és hatás
Az Operation PCPcat néven nyomon követett együttes tevékenység vélhetően már 59 128 szervert kompromittál. Az elemzők a kampányt nagyszabású hírszerzésre és iparosított adatlopásra utaló jelként értékelik. A jelenlegi mérések szerint több mint 111 000 IP-cím továbbra is sebezhető a React2Shell támadásokkal szemben, a legnagyobb koncentráció az Egyesült Államokban, ezt követi Németország, Franciaország és India. Az összegyűjtött telemetriai adatok azt is jelzik, hogy egyetlen 24 órás időszakon belül több száz rosszindulatú IP-cím vett részt aktívan a támadási kísérletekben olyan régiókban, mint az Egyesült Államok, India, az Egyesült Királyság, Szingapúr és Hollandia.
