Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Vulnerabilitate Vulnerabilitate React2Shell

Vulnerabilitate React2Shell

Până în Mezo în Vulnerabilitate, Amenințare persistentă avansată (APT), Programe malware
Tradu in:

Cercetătorii în domeniul securității au confirmat că vulnerabilitatea critică cunoscută sub numele de React2Shell este abuzată în mod activ de mai mulți actori de amenințare pentru a compromite sistemele bazate pe Linux. Defectul este utilizat pentru a implementa mai multe familii de programe malware, în special KSwapDoor și ZnDoor, permițând acces profund și persistent la mediile afectate. Exploatarea continuă evidențiază cât de repede se operaționalizează defectele de impact ridicat ale aplicațiilor odată descoperite.

KSwapDoor: Un backdoor Linux axat pe stealth

KSwapDoor este un instrument de acces la distanță, proiectat cu grijă, conceput pentru a rămâne ascuns pentru perioade lungi de timp. Acesta stabilește o rețea internă tip plasă care permite serverelor infectate să comunice între ele, ajutând atacatorii să ocolească apărarea perimetrului și să își mențină rezistența dacă nodurile individuale sunt blocate. Traficul său de rețea este protejat cu o criptare puternică, ceea ce face ca inspecția și detectarea să fie mult mai dificile. Una dintre cele mai îngrijorătoare capacități ale sale este o stare inactivă sau „sleeper”, care permite malware-ului să rămână inactiv până când primește un declanșator ascuns care îl reactivează, ocolind efectiv controalele firewall-ului.

Cercetătorii au clarificat faptul că KSwapDoor fusese anterior identificat eronat ca BPFDoor. În realitate, este un backdoor Linux care permite accesul interactiv la shell, executarea arbitrară a comenzilor, manipularea fișierelor și scanarea oportunităților de mișcare laterală. Pentru a se integra și mai mult, se deghizează într-un daemon legitim de swap al kernelului Linux, reducând probabilitatea de a ridica suspiciuni în timpul monitorizării de rutină a sistemului.

Campanii ZnDoor care vizează organizațiile japoneze

În paralel, organizațiile din Japonia au fost vizate de atacuri care exploatează React2Shell pentru a distribui ZnDoor. Acest troian de acces la distanță a fost observat în activități reale cel puțin din decembrie 2023. Aceste intruziuni încep de obicei cu o simplă comandă bash care preia sarcina utilă de pe un server la distanță la adresa 45.76.155.14 folosind wget și apoi o execută local.

Odată instalat, ZnDoor se conectează înapoi la infrastructura controlată de atacatori pentru a primi instrucțiuni și a acționa în baza acestora. Funcționalitatea sa este extinsă și permite controlul deplin asupra gazdei compromise, așa cum este ilustrat de setul de comenzi acceptate de mai jos:

  • shell și interactive_shell pentru executarea directă a comenzilor și acces interactiv
  • explorer, explorer_cat, explorer_delete, explorer_upload și explorer_download pentru operațiuni cu fișiere și directoare
  • sistem de colectare a informațiilor despre gazdă
  • change_timefile pentru a modifica timestamp-urile fișierelor
  • socket_quick_startstreams pentru a lansa un proxy SOCKS5
  • start_in_port_forward și stop_in_port pentru a gestiona redirecționarea porturilor

CVE-2025-55182 și Armizarea Multigrupală

Activitatea mai amplă coincide cu exploatarea pe scară largă a vulnerabilității CVE-2025-55182, o vulnerabilitate React2Shell căreia i s-a atribuit un scor CVSS maxim de 10,0. Cel puțin cinci grupuri de amenințări aliniate cu China au fost observate utilizând această vulnerabilitate ca arme pentru a distribui o gamă diversă de sarcini utile, inclusiv instrumente de tunelare, programe de descărcare și multiple backdoor-uri Linux. Printre acestea s-au numărat MINOCAT, SNOWLIGHT, COMPOOD, o variantă actualizată a HISONIC care se integrează în traficul legitim folosind Cloudflare Pages și GitLab și o versiune Linux a ANGRYREBEL, cunoscută și sub numele de Noodle RAT.

Abuz post-exploatare și diversitatea sarcinii utile

După obținerea execuției inițiale a codului, atacatorii execută de obicei comenzi arbitrare pentru a-și consolida poziția. Aceasta include stabilirea de shell-uri inverse pentru infrastructura Cobalt Strike cunoscută, implementarea de instrumente de monitorizare și gestionare la distanță, cum ar fi MeshAgent, modificarea fișierului authorized_keys și activarea conectărilor directe ca root. Alte sarcini utile observate în timpul acestor operațiuni includ VShell, EtherRAT, ShadowPad, XMRig și implementări repetate ale SNOWLIGHT.

Pentru a evita detectarea, campaniile se bazează frecvent pe endpoint-uri Cloudflare Tunnel sub domeniul trycloudflare.com, permițând traficului de comandă și control să se amestece cu serviciile legitime. Apoi se efectuează recunoaștere extinsă pentru a cartografia mediul, a susține mișcarea laterală și a identifica acreditări valoroase.

Recoltarea acreditărilor în cloud și descoperirea secretelor

Un punct central al acestor atacuri este furtul de acreditări în mediile cloud. Au fost observați actori amenințători care interoghează serviciile de metadate ale instanțelor pentru Azure, AWS, Google Cloud Platform și Tencent Cloud, în încercarea de a obține token-uri de identitate și de a-și extinde accesul. De asemenea, aceștia implementează instrumente de scanare a secretelor, cum ar fi TruffleHog și Gitleaks, alături de scripturi personalizate, pentru a extrage materiale sensibile. Aceasta include încercări de a fura acreditări bazate pe inteligență artificială și cloud-native, cum ar fi cheile API OpenAI, token-urile Databricks, secretele contului de serviciu Kubernetes și token-urile de acces obținute prin intermediul instrumentelor Azure CLI și Azure Developer CLI.

Exploatarea Next.js și exfiltrarea datelor

Într-o campanie similară, cercetătorii au documentat exploatarea mai multor defecte Next.js, inclusiv CVE-2025-29927 și CVE-2025-66478, acesta din urmă fiind un identificator anterior pentru aceeași problemă React2Shell. Aceste atacuri s-au concentrat pe extragerea sistematică a fișierelor de configurare, a variabilelor de mediu, a cheilor SSH, a acreditărilor cloud, a datelor de autentificare Git, a istoricului comenzilor shell și a fișierelor de sistem sensibile, cum ar fi passwd și shadow. De asemenea, malware-ul stabilește persistența, instalează un proxy SOCKS5, deschide un shell invers la 67.217.57.240 pe portul 888 și implementează un scaner React pentru a căuta pe internet ținte vulnerabile suplimentare.

Operațiunea PCPcat: Amploare și impact

Se crede că activitatea combinată, urmărită sub numele de Operațiunea PCPcat, a compromis deja 59.128 de servere. Analiștii evaluează campania ca fiind un indicator al colectării de informații la scară largă și al exfiltrării industrializate a datelor. Măsurătorile actuale sugerează că peste 111.000 de adrese IP rămân vulnerabile la exploatarea React2Shell, cea mai mare concentrare fiind în Statele Unite, urmate de Germania, Franța și India. Datele de telemetrie colectate indică, de asemenea, că sute de adrese IP rău intenționate din regiuni precum SUA, India, Marea Britanie, Singapore și Olanda au participat activ la tentative de exploatare într-o singură perioadă de 24 de ore.

Trending

Cele mai văzute

Se încarcă...