Το Σαββατοκύριακο, η ομάδα πληροφοριών απειλών της Google συνέδεσε πέντε ακόμη κινεζικές ομάδες χάκερ με επιθέσεις που εκμεταλλεύονται τη μέγιστη δυνατή σοβαρότητα.React2Shell” ευπάθεια απομακρυσμένης εκτέλεσης κώδικα.
Παρακολούθηση ως CVE-2025-55182, αυτό το ελάττωμα που εκμεταλλεύεται ενεργά επηρεάζει τη βιβλιοθήκη JavaScript ανοιχτού κώδικα React και επιτρέπει στους εισβολείς χωρίς έλεγχο ταυτότητας να εκτελούν αυθαίρετο κώδικα σε εφαρμογές React και Next.js με ένα μόνο αίτημα HTTP.
Ενώ πολλά πακέτα React (δηλαδή, react-server-dom-parcel, react-server-dom-turbopack και react-server-dom-webpack) είναι ευάλωτα στις προεπιλεγμένες διαμορφώσεις τους, η ευπάθεια επηρεάζει μόνο τις εκδόσεις React 19.0, 19.1.0, 19.1.1 και 19 που κυκλοφόρησαν το προηγούμενο έτος.
Μετά το άρχισαν οι επιθέσεις, η Palo Alto Networks αναφέρθηκε ότι δεκάδες οργανώσεις είχαν παραβιαστείσυμπεριλαμβανομένων περιστατικών που συνδέονται με κινεζικούς φορείς απειλών που υποστηρίζονται από το κράτος. Οι εισβολείς εκμεταλλεύονται το ελάττωμα για να εκτελέσουν εντολές και να κλέψουν αρχεία διαμόρφωσης AWS, διαπιστευτήρια και άλλες ευαίσθητες πληροφορίες.
Η ομάδα ασφαλείας του Amazon Web Services (AWS) προειδοποίησε επίσης ότι οι συνδεδεμένοι με την Κίνα παράγοντες απειλών Earth Lamia και Jackpot Panda είχαν αρχίσει να εκμεταλλεύονται το React2Shell μέσα σε λίγες ώρες από την αποκάλυψη της ευπάθειας.
Πέντε ακόμη κινεζικές ομάδες χάκερ που συνδέονται με επιθέσεις
Το Σάββατο, η Google Threat Intelligence Group (GTIG) ανέφερε ότι εντόπισε τουλάχιστον πέντε ακόμη κινεζικές ομάδες κατασκοπείας στον κυβερνοχώρο που συμμετείχαν σε συνεχιζόμενες επιθέσεις React2Shell που ξεκίνησαν μετά την αποκάλυψη του ελαττώματος στις 3 Δεκεμβρίου.
Ο κατάλογος των ομάδων απειλών που συνδέονται με το κράτος που εκμεταλλεύονται το ελάττωμα περιλαμβάνει τώρα επίσης το UNC6600 (το οποίο ανέπτυξε το λογισμικό διοχέτευσης σήραγγας MINOCAT), το UNC6586 (το πρόγραμμα λήψης SNOWLIGHT), το UNC6588 (το ωφέλιμο φορτίο της backdoor COMPOOD), το UNC6603 (μια ενημερωμένη έκδοση του HISONIC. Remote Access Trojan).
“Λόγω της χρήσης των React Server Components (RSC) σε δημοφιλή πλαίσια όπως το Next.js, υπάρχει ένας σημαντικός αριθμός εκτεθειμένων συστημάτων που είναι ευάλωτα σε αυτό το ζήτημα.” Οι ερευνητές του GTIG είπαν.
“Το GTIG έχει επίσης παρατηρήσει πολυάριθμες συζητήσεις σχετικά με το CVE-2025-55182 σε υπόγεια φόρουμ, συμπεριλαμβανομένων των νημάτων στα οποία οι φορείς απειλών έχουν μοιραστεί συνδέσμους με εργαλεία σάρωσης, κώδικα απόδειξης της ιδέας (PoC) και τις εμπειρίες τους χρησιμοποιώντας αυτά τα εργαλεία.”
Κατά τη διερεύνηση αυτών των επιθέσεων, το GTIG εντόπισε επίσης Ιρανούς παράγοντες απειλών που στοχεύουν το ελάττωμα και επιτιθέμενους με οικονομικά κίνητρα που αναπτύσσουν λογισμικό εξόρυξης κρυπτονομισμάτων XMRig σε μη επιδιορθωμένα συστήματα.
Ομάδα παρακολούθησης του Διαδικτύου Shadowserver παρακολουθεί αυτήν τη στιγμή περισσότερες από 116.000 διευθύνσεις IP ευάλωτες σε επιθέσεις React2Shell, με περισσότερες από 80.000 στις Ηνωμένες Πολιτείες.
Το GreyNoise έχει επίσης παρατηρήσει περισσότερες από 670 διευθύνσεις IP επιχειρεί να εκμεταλλευτεί το ελάττωμα εκτέλεσης απομακρυσμένου κώδικα React2Shell τις τελευταίες 24 ώρες, που προέρχεται κυρίως από τις Ηνωμένες Πολιτείες, την Ινδία, τη Γαλλία, τη Γερμανία, την Ολλανδία, τη Σιγκαπούρη, τη Ρωσία, την Αυστραλία, το Ηνωμένο Βασίλειο και την Κίνα.
Στις 5 Δεκεμβρίου, το Cloudflare συνέδεσε μια παγκόσμια διακοπή ιστοτόπου με μέτρα έκτακτης ανάγκης για την ευπάθεια React2Shell.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
