Rabattoffert för flera licenser
Hotdatabas Sårbarhet React2Shell-sårbarhet

React2Shell-sårbarhet

Med Mezo år Sårbarhet, Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

Säkerhetsforskare har bekräftat att den kritiska sårbarheten React2Shell aktivt missbrukas av flera hotaktörer för att kompromettera Linux-baserade system. Bristen utnyttjas för att distribuera flera familjer av skadlig kod, framför allt KSwapDoor och ZnDoor, vilket möjliggör djup och ihållande åtkomst till drabbade miljöer. Den pågående exploateringen visar hur snabbt allvarliga applikationsbrister operationaliseras när de väl avslöjats.

KSwapDoor: En smygfokuserad Linux-bakdörr

KSwapDoor är ett noggrant konstruerat fjärråtkomstverktyg som är byggt för att förbli dolt under långa perioder. Det etablerar ett internt mesh-nätverk som gör det möjligt för infekterade servrar att kommunicera med varandra, vilket hjälper angriparna att kringgå perimeterförsvar och bibehålla motståndskraft om enskilda noder blockeras. Dess nätverkstrafik är skyddad med stark kryptering, vilket gör inspektion och upptäckt betydligt svårare. En av dess mest oroande funktioner är ett vilande eller "sovande" tillstånd, vilket gör att skadlig programvara kan förbli inaktiv tills den får en hemlig utlösare som återaktiverar den, vilket effektivt kringgår brandväggskontroller.

Forskare klargjorde att KSwapDoor tidigare felaktigt hade identifierats som BPFDoor. I verkligheten är det en Linux-bakdörr som stöder interaktiv skalåtkomst, godtycklig kommandokörning, filmanipulation och skanning efter möjligheter till sidledsförflyttning. För att ytterligare smälta in i omgivningen maskerar den sig som en legitim Linux-kärnväxlingsdaemon, vilket minskar sannolikheten för att väcka misstankar under rutinmässig systemövervakning.

ZnDoor-kampanjer riktade mot japanska organisationer

Parallellt har organisationer i Japan utsatts för attacker som utnyttjar React2Shell för att leverera ZnDoor. Denna fjärråtkomsttrojan har observerats i verklig verksamhet sedan åtminstone december 2023. Dessa intrång börjar vanligtvis med ett enkelt bash-kommando som hämtar nyttolasten från en fjärrserver på 45.76.155.14 med hjälp av wget och sedan kör den lokalt.

När ZnDoor är installerat ansluter den tillbaka till angriparkontrollerad infrastruktur för att ta emot instruktioner och agera utifrån dem. Dess funktionalitet är bred och möjliggör full kontroll över den komprometterade värden, vilket illustreras av de stödda kommandona nedan:

  • shell och interactive_shell för direkt kommandokörning och interaktiv åtkomst
  • explorer, explorer_cat, explorer_delete, explorer_upload och explorer_download för fil- och katalogoperationer
  • system för att samla in värdinformation
  • change_timefile för att ändra filens tidsstämplar
  • socket_quick_startstreams för att starta en SOCKS5-proxy
  • start_in_port_forward och stop_in_port för att hantera portvidarebefordran

CVE-2025-55182 och beväpning med flera grupper

Den bredare aktiviteten sammanfaller med en omfattande exploatering av CVE-2025-55182, en React2Shell-sårbarhet som tilldelats en maximal CVSS-poäng på 10,0. Minst fem hotgrupper med kopplingar till Kina har observerats utnyttja denna brist som vapen för att distribuera en mängd olika nyttolaster, inklusive tunnelverktyg, nedladdningsprogram och flera Linux-bakdörrar. Bland dessa fanns MINOCAT, SNOWLIGHT, COMPOOD, en uppdaterad HISONIC-variant som integreras i legitim trafik med Cloudflare Pages och GitLab, och en Linux-version av ANGRYREBEL, även känd som Noodle RAT.

Missbruk efter utnyttjande och nyttolastdiversitet

Efter att ha fått initial kodkörning kör angripare ofta godtyckliga kommandon för att fördjupa sitt fotfäste. Detta inkluderar att etablera reverse shells till känd Cobalt Strike-infrastruktur, driftsätta fjärrövervaknings- och hanteringsverktyg som MeshAgent, ändra authorized_keys-filen och aktivera direkta root-inloggningar. Ytterligare nyttolaster som ses under dessa operationer inkluderar VShell, EtherRAT, ShadowPad, XMRig och upprepade driftsättningar av SNOWLIGHT.

För att undvika upptäckt förlitar sig kampanjerna ofta på Cloudflare Tunnel-slutpunkter under domänen trycloudflare.com, vilket gör att kommando- och kontrolltrafik kan blandas med legitima tjänster. Omfattande rekognoscering utförs sedan för att kartlägga miljön, stödja lateral förflyttning och identifiera värdefulla inloggningsuppgifter.

Insamling av molnuppgifter och hemlighetsupptäckt

Ett huvudfokus för dessa attacker är stöld av autentiseringsuppgifter i molnmiljöer. Hotaktörer har observerats när de frågar efter instansmetadatatjänster för Azure, AWS, Google Cloud Platform och Tencent Cloud i ett försök att få tag på identitetstokens och utöka deras åtkomst. De distribuerar också verktyg för hemlighetsskanning som TruffleHog och Gitleaks, tillsammans med anpassade skript, för att extrahera känsligt material. Detta inkluderar försök att stjäla AI och molnbaserade autentiseringsuppgifter som OpenAI API-nycklar, Databricks-tokens, Kubernetes-tjänstkontohemligheter och åtkomsttokens som erhållits via Azure CLI och Azure Developer CLI-verktyg.

Next.js-exploatering och dataexfiltrering

I en relaterad kampanj dokumenterade forskare utnyttjande av flera Next.js-brister, inklusive CVE-2025-29927 och CVE-2025-66478, där den senare var en tidigare identifierare för samma React2Shell-problem. Dessa attacker fokuserade på att systematiskt extrahera konfigurationsfiler, miljövariabler, SSH-nycklar, molnuppgifter, Git-autentiseringsdata, shell-kommandohistorik och känsliga systemfiler som passwd och shadow. Skadlig programvara etablerar också persistens, installerar en SOCKS5-proxy, öppnar ett omvänt shell till 67.217.57.240 på port 888 och distribuerar en React-skanner för att söka på internet efter ytterligare sårbara mål.

Operation PCPcat: Skala och påverkan

Den kombinerade aktiviteten, som spåras under namnet Operation PCPcat, tros redan ha komprometterat 59 128 servrar. Analytiker bedömer kampanjen som ett tecken på storskalig underrättelseinsamling och industrialiserad dataexfiltrering. Nuvarande mätningar tyder på att mer än 111 000 IP-adresser fortfarande är sårbara för React2Shell-exploatering, med den högsta koncentrationen i USA, följt av Tyskland, Frankrike och Indien. Insamlad telemetri indikerar vidare att hundratals skadliga IP-adresser i regioner som USA, Indien, Storbritannien, Singapore och Nederländerna aktivt har deltagit i exploateringsförsök inom en enda 24-timmarsperiod.

Trendigt

Mest sedda

Läser in...