Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Kwetsbaarheid Kwetsbaarheid in React2Shell

Kwetsbaarheid in React2Shell

Tegen Mezo in Kwetsbaarheid, Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:

Beveiligingsonderzoekers hebben bevestigd dat de kritieke kwetsbaarheid React2Shell actief wordt misbruikt door meerdere cybercriminelen om Linux-systemen te compromitteren. De kwetsbaarheid wordt gebruikt om verschillende malwarefamilies te verspreiden, met name KSwapDoor en ZnDoor, waardoor diepgaande en aanhoudende toegang tot getroffen omgevingen mogelijk wordt. De voortdurende exploitatie laat zien hoe snel applicatiekwetsbaarheden met grote impact operationeel worden gemaakt zodra ze aan het licht komen.

KSwapDoor: een op stealth gerichte Linux-achterdeur

KSwapDoor is een zorgvuldig ontworpen tool voor toegang op afstand, gebouwd om lange tijd verborgen te blijven. Het creëert een intern mesh-netwerk waarmee geïnfecteerde servers met elkaar kunnen communiceren, waardoor aanvallers perimeterbeveiligingen kunnen omzeilen en veerkracht behouden, zelfs als individuele knooppunten worden geblokkeerd. Het netwerkverkeer wordt beschermd door sterke encryptie, waardoor inspectie en detectie aanzienlijk moeilijker worden. Een van de meest zorgwekkende mogelijkheden is een slapende modus, waardoor de malware inactief kan blijven totdat een verborgen trigger deze reactiveert, waardoor firewallbeveiliging effectief wordt omzeild.

Onderzoekers hebben verduidelijkt dat KSwapDoor eerder ten onrechte werd aangezien voor BPFDoor. In werkelijkheid is het een Linux-backdoor die interactieve shelltoegang, het uitvoeren van willekeurige commando's, bestandsmanipulatie en het scannen naar mogelijkheden voor laterale verplaatsing ondersteunt. Om nog beter op te gaan in de omgeving, vermomt het zich als een legitieme Linux-kernel swap-daemon, waardoor de kans kleiner is dat het argwaan wekt tijdens routinematige systeemmonitoring.

ZnDoor-campagnes gericht op Japanse organisaties

Tegelijkertijd zijn organisaties in Japan het doelwit geworden van aanvallen die React2Shell misbruiken om ZnDoor te verspreiden. Deze remote access trojan is in de praktijk al sinds ten minste december 2023 waargenomen. Deze inbraken beginnen doorgaans met een eenvoudig bash-commando dat de payload ophaalt van een externe server op 45.76.155.14 met behulp van wget en deze vervolgens lokaal uitvoert.

Na installatie maakt ZnDoor verbinding met de door de aanvaller gecontroleerde infrastructuur om instructies te ontvangen en uit te voeren. De functionaliteit is breed en biedt volledige controle over de gecompromitteerde host, zoals blijkt uit de onderstaande lijst met ondersteunde commando's:

  • shell en interactive_shell voor directe commando-uitvoering en interactieve toegang
  • explorer, explorer_cat, explorer_delete, explorer_upload en explorer_download voor bestands- en mapbewerkingen.
  • systeem voor het verzamelen van hostinformatie
  • change_timefile om de tijdstempels van bestanden te wijzigen
  • socket_quick_startstreams om een SOCKS5-proxy te starten
  • start_in_port_forward en stop_in_port om poortdoorsturing te beheren

CVE-2025-55182 en wapenisering van meerdere groepen

De bredere activiteit valt samen met de wijdverspreide exploitatie van CVE-2025-55182, een kwetsbaarheid in React2Shell waaraan een maximale CVSS-score van 10,0 is toegekend. Er zijn minstens vijf aan China gelieerde dreigingsgroepen waargenomen die deze kwetsbaarheid misbruiken om een breed scala aan payloads te verspreiden, waaronder tunnelingtools, downloaders en meerdere Linux-backdoors. Onder deze groepen bevonden zich MINOCAT, SNOWLIGHT, COMPOOD, een bijgewerkte HISONIC-variant die zich vermomt in legitiem verkeer via Cloudflare Pages en GitLab, en een Linux-versie van ANGRYREBEL, ook bekend als Noodle RAT.

Misbruik na exploitatie en diversiteit van de payload

Nadat aanvallers de eerste code hebben kunnen uitvoeren, voeren ze vaak willekeurige commando's uit om hun positie te versterken. Dit omvat het opzetten van reverse shells naar bekende Cobalt Strike-infrastructuur, het implementeren van tools voor monitoring en beheer op afstand zoals MeshAgent, het wijzigen van het authorized_keys-bestand en het mogelijk maken van directe root-aanmeldingen. Andere payloads die tijdens deze operaties worden waargenomen, zijn onder andere VShell, EtherRAT, ShadowPad, XMRig en herhaalde implementaties van SNOWLIGHT.

Om detectie te ontwijken, maken de campagnes vaak gebruik van Cloudflare Tunnel-eindpunten onder het domein trycloudflare.com, waardoor command-and-control-verkeer zich kan mengen met legitieme diensten. Vervolgens wordt uitgebreide verkenning uitgevoerd om de omgeving in kaart te brengen, laterale verplaatsing te ondersteunen en waardevolle inloggegevens te achterhalen.

Verzamelen van cloudreferenties en ontdekking van geheimen

Een belangrijk doelwit van deze aanvallen is het stelen van inloggegevens in cloudomgevingen. Er is waargenomen dat cybercriminelen metadata van instanties van Azure, AWS, Google Cloud Platform en Tencent Cloud opvragen om identiteitstokens te bemachtigen en hun toegang uit te breiden. Ze zetten ook tools voor het scannen van geheimen in, zoals TruffleHog en Gitleaks, samen met aangepaste scripts, om gevoelige informatie te extraheren. Dit omvat pogingen om AI- en cloud-native inloggegevens te stelen, zoals OpenAI API-sleutels, Databricks-tokens, Kubernetes-serviceaccountgeheimen en toegangstokens verkregen via Azure CLI en Azure Developer CLI.

Misbruik van Next.js en data-exfiltratie

In een gerelateerde campagne documenteerden onderzoekers de exploitatie van meerdere Next.js-kwetsbaarheden, waaronder CVE-2025-29927 en CVE-2025-66478. De laatstgenoemde was een eerdere identificatiecode voor hetzelfde React2Shell-probleem. Deze aanvallen waren gericht op het systematisch extraheren van configuratiebestanden, omgevingsvariabelen, SSH-sleutels, cloudreferenties, Git-authenticatiegegevens, shell-opdrachtgeschiedenis en gevoelige systeembestanden zoals passwd en shadow. De malware zorgt ook voor persistentie, installeert een SOCKS5-proxy, opent een reverse shell naar 67.217.57.240 op poort 888 en zet een React-scanner in om op internet te zoeken naar andere kwetsbare doelwitten.

Operatie PCPcat: Omvang en impact

De gecombineerde activiteit, die wordt gevolgd onder de naam Operation PCPcat, zou al 59.128 servers hebben gecompromitteerd. Analisten beschouwen de campagne als een indicatie van grootschalige inlichtingenverzameling en geïndustrialiseerde data-exfiltratie. Huidige metingen suggereren dat meer dan 111.000 IP-adressen kwetsbaar blijven voor de React2Shell-aanval, met de hoogste concentratie in de Verenigde Staten, gevolgd door Duitsland, Frankrijk en India. Verzamelde telemetriegegevens tonen verder aan dat honderden kwaadwillende IP-adressen in regio's zoals de VS, India, het VK, Singapore en Nederland actief hebben deelgenomen aan aanvallen binnen een periode van 24 uur.

Trending

Meest bekeken

Bezig met laden...