Rabatttilbud for flere lisenser
Trusseldatabase Sårbarhet React2Shell-sårbarhet

React2Shell-sårbarhet

Med Mezo i Sårbarhet, Advanced Persistent Threat (APT), Skadelig programvare
Oversett til:

Sikkerhetsforskere har bekreftet at den kritiske sårbarheten kjent som React2Shell aktivt misbrukes av flere trusselaktører for å kompromittere Linux-baserte systemer. Feilen utnyttes til å distribuere flere skadevarefamilier, særlig KSwapDoor og ZnDoor, som muliggjør dyp og vedvarende tilgang til berørte miljøer. Den pågående utnyttelsen fremhever hvor raskt applikasjonsfeil med stor innvirkning operasjonaliseres når de først er avslørt.

KSwapDoor: En stealth-fokusert Linux-bakdør

KSwapDoor er et nøye konstruert verktøy for fjerntilgang som er bygget for å forbli skjult i lange perioder. Det etablerer et internt mesh-nettverk som lar infiserte servere kommunisere med hverandre, noe som hjelper angriperne med å omgå perimeterforsvar og opprettholde motstandskraft hvis individuelle noder blokkeres. Nettverkstrafikken er beskyttet med sterk kryptering, noe som gjør inspeksjon og deteksjon betydelig vanskeligere. En av de mest bekymringsfulle egenskapene er en sovende tilstand, som lar skadevaren forbli inaktiv inntil den mottar en skjult utløser som reaktiverer den, og effektivt omgår brannmurkontroller.

Forskere avklarte at KSwapDoor tidligere hadde blitt feilaktig identifisert som BPFDoor. I virkeligheten er det en Linux-bakdør som støtter interaktiv skalltilgang, vilkårlig kommandokjøring, filmanipulering og skanning etter muligheter for sideveis bevegelse. For å gli ytterligere inn i systemet, utgir den seg for å være en legitim Linux-kjernebyttedemon, noe som reduserer sannsynligheten for å vekke mistanke under rutinemessig systemovervåking.

ZnDoor-kampanjer rettet mot japanske organisasjoner

Parallelt har organisasjoner i Japan blitt målrettet mot angrep som utnytter React2Shell for å levere ZnDoor. Denne trojaneren for fjerntilgang har blitt observert i reell aktivitet siden minst desember 2023. Disse inntrengingene starter vanligvis med en enkel bash-kommando som henter nyttelasten fra en ekstern server på 45.76.155.14 ved hjelp av wget og deretter kjører den lokalt.

Når ZnDoor er installert, kobler den seg tilbake til angriperkontrollert infrastruktur for å motta instruksjoner og handle ut fra dem. Funksjonaliteten er bred og gir full kontroll over den kompromitterte verten, som illustrert av det støttede kommandosettet nedenfor:

  • shell og interactive_shell for direkte kommandoutførelse og interaktiv tilgang
  • explorer, explorer_cat, explorer_delete, explorer_upload og explorer_download for fil- og katalogoperasjoner
  • system for å samle inn vertsinformasjon
  • change_timefile for å endre tidsstempler for filer
  • socket_quick_startstreams for å starte en SOCKS5-proxy
  • start_in_port_forward og stop_in_port for å administrere portvideresending

CVE-2025-55182 og våpenbygging med flere grupper

Den bredere aktiviteten sammenfaller med utbredt utnyttelse av CVE-2025-55182, en React2Shell-sårbarhet tildelt en maksimal CVSS-score på 10,0. Minst fem Kina-tilknyttede trusselgrupper har blitt observert som utnytter denne feilen som våpen for å distribuere et bredt spekter av nyttelaster, inkludert tunnelverktøy, nedlastere og flere Linux-bakdører. Blant disse var MINOCAT, SNOWLIGHT, COMPOOD, en oppdatert HISONIC-variant som blander seg inn i legitim trafikk ved hjelp av Cloudflare Pages og GitLab, og en Linux-versjon av ANGRYREBEL, også kjent som Noodle RAT.

Misbruk etter utnyttelse og nyttelastmangfold

Etter å ha oppnådd initial kodekjøring, kjører angripere ofte vilkårlige kommandoer for å styrke fotfestet sitt. Dette inkluderer å etablere reverse shells til kjent Cobalt Strike-infrastruktur, distribuere fjernovervåkings- og administrasjonsverktøy som MeshAgent, endre authorized_keys-filen og aktivere direkte root-pålogginger. Ytterligere nyttelaster som sees under disse operasjonene inkluderer VShell, EtherRAT, ShadowPad, XMRig og gjentatte distribusjoner av SNOWLIGHT.

For å unngå å bli oppdaget, er kampanjene ofte avhengige av Cloudflare Tunnel-endepunkter under domenet trycloudflare.com, slik at kommando- og kontrolltrafikk kan blandes inn med legitime tjenester. Omfattende rekognosering utføres deretter for å kartlegge miljøet, støtte lateral bevegelse og identifisere verdifulle påloggingsinformasjoner.

Innsamling av skylegitimasjon og hemmelig oppdagelse

Et hovedfokus for disse angrepene er tyveri av legitimasjon i skymiljøer. Trusselaktører har blitt observert mens de spør etter metadatatjenester for instanser for Azure, AWS, Google Cloud Platform og Tencent Cloud i et forsøk på å få tak i identitetstokener og utvide tilgangen deres. De bruker også verktøy for skanning av hemmeligheter som TruffleHog og Gitleaks, sammen med tilpassede skript, for å trekke ut sensitivt materiale. Dette inkluderer forsøk på å stjele AI og skybasert legitimasjon som OpenAI API-nøkler, Databricks-tokener, hemmeligheter for Kubernetes-tjenestekontoer og tilgangstokener innhentet gjennom Azure CLI og Azure Developer CLI-verktøy.

Next.js-utnyttelse og datautfiltrering

I en relatert kampanje dokumenterte forskere utnyttelse av flere Next.js-feil, inkludert CVE-2025-29927 og CVE-2025-66478, hvor sistnevnte var en tidligere identifikator for det samme React2Shell-problemet. Disse angrepene fokuserte på systematisk utpakking av konfigurasjonsfiler, miljøvariabler, SSH-nøkler, skylegitimasjon, Git-autentiseringsdata, shell-kommandohistorikk og sensitive systemfiler som passwd og shadow. Skadevaren etablerer også persistens, installerer en SOCKS5-proxy, åpner et reverse shell til 67.217.57.240 på port 888 og distribuerer en React-skanner for å søke på internett etter ytterligere sårbare mål.

Operasjon PCPcat: Skala og innvirkning

Den samlede aktiviteten, sporet under navnet Operation PCPcat, antas allerede å ha kompromittert 59 128 servere. Analytikere vurderer kampanjen som et tegn på storstilt etterretningsinnsamling og industrialisert datautvinning. Nåværende målinger tyder på at mer enn 111 000 IP-adresser fortsatt er sårbare for React2Shell-utnyttelse, med den høyeste konsentrasjonen i USA, etterfulgt av Tyskland, Frankrike og India. Innsamlet telemetri indikerer videre at hundrevis av ondsinnede IP-adresser på tvers av regioner som USA, India, Storbritannia, Singapore og Nederland aktivt har deltatt i utnyttelsesforsøk i løpet av en enkelt 24-timers periode.

Trender

Mest sett

Laster inn...