Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Sicherheitsrisiko React2Shell-Schwachstelle

React2Shell-Schwachstelle

Von Mezo in Sicherheitsrisiko, Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:

Sicherheitsforscher haben bestätigt, dass die kritische Schwachstelle React2Shell aktiv von mehreren Angreifern ausgenutzt wird, um Linux-basierte Systeme zu kompromittieren. Die Sicherheitslücke wird verwendet, um verschiedene Malware-Familien, insbesondere KSwapDoor und ZnDoor, zu verbreiten und so tiefgreifenden und dauerhaften Zugriff auf betroffene Systeme zu ermöglichen. Die anhaltende Ausnutzung verdeutlicht, wie schnell schwerwiegende Anwendungsfehler nach ihrer Entdeckung operativ eingesetzt werden.

KSwapDoor: Eine auf Heimlichkeit ausgerichtete Linux-Hintertür

KSwapDoor ist ein sorgfältig entwickeltes Fernzugriffstool, das darauf ausgelegt ist, lange unentdeckt zu bleiben. Es errichtet ein internes Mesh-Netzwerk, das die Kommunikation infizierter Server untereinander ermöglicht. Dadurch können Angreifer Perimeterverteidigungen umgehen und ihre Ausfallsicherheit aufrechterhalten, selbst wenn einzelne Knoten blockiert werden. Der Netzwerkverkehr ist durch starke Verschlüsselung geschützt, was die Untersuchung und Erkennung erheblich erschwert. Eine der besorgniserregendsten Funktionen ist der Ruhezustand, in dem die Malware inaktiv bleibt, bis sie durch einen verdeckten Auslöser reaktiviert wird und so Firewall-Kontrollen effektiv umgeht.

Forscher stellten klar, dass KSwapDoor zuvor fälschlicherweise als BPFDoor identifiziert worden war. Tatsächlich handelt es sich um eine Linux-Backdoor, die interaktiven Shell-Zugriff, die Ausführung beliebiger Befehle, Dateimanipulation und das Scannen nach Möglichkeiten zur lateralen Ausbreitung ermöglicht. Um unauffällig zu bleiben, tarnt sie sich als legitimer Linux-Kernel-Swap-Daemon und verringert so die Wahrscheinlichkeit, bei der routinemäßigen Systemüberwachung Verdacht zu erregen.

ZnDoor-Kampagnen, die auf japanische Organisationen abzielen

Parallel dazu wurden Organisationen in Japan Ziel von Angriffen, die React2Shell ausnutzten, um ZnDoor einzuschleusen. Dieser Remote-Access-Trojaner wurde mindestens seit Dezember 2023 in der Praxis beobachtet. Diese Angriffe beginnen typischerweise mit einem einfachen Bash-Befehl, der die Schadsoftware mithilfe von wget von einem Remote-Server unter der IP-Adresse 45.76.155.14 abruft und anschließend lokal ausführt.

Nach der Installation stellt ZnDoor eine Verbindung zur vom Angreifer kontrollierten Infrastruktur her, um Anweisungen zu empfangen und auszuführen. Der Funktionsumfang ist breit gefächert und ermöglicht die vollständige Kontrolle über den kompromittierten Host, wie die unten aufgeführten unterstützten Befehle veranschaulichen:

  • shell und interactive_shell für die direkte Befehlsausführung und den interaktiven Zugriff
  • explorer, explorer_cat, explorer_delete, explorer_upload und explorer_download für Datei- und Verzeichnisoperationen
  • System zur Erfassung von Hostinformationen
  • change_timefile zum Ändern von Dateizeitstempeln
  • socket_quick_startstreams zum Starten eines SOCKS5-Proxys
  • start_in_port_forward und stop_in_port zur Verwaltung der Portweiterleitung

CVE-2025-55182 und Multi-Group Weaponization

Die verstärkten Aktivitäten fallen zeitlich mit der weitverbreiteten Ausnutzung von CVE-2025-55182 zusammen, einer React2Shell-Schwachstelle mit einem maximalen CVSS-Wert von 10,0. Mindestens fünf mit China verbundene Bedrohungsgruppen nutzen diese Schwachstelle, um verschiedene Schadprogramme zu verbreiten, darunter Tunneling-Tools, Downloader und mehrere Linux-Backdoors. Zu diesen gehören MINOCAT, SNOWLIGHT, COMPOOD, eine aktualisierte HISONIC-Variante, die sich mithilfe von Cloudflare Pages und GitLab in legitimen Datenverkehr einfügt, sowie eine Linux-Version von ANGRYREBEL, auch bekannt als Noodle RAT.

Missbrauch nach der Ausbeutung und Nutzlastvielfalt

Nachdem Angreifer anfänglich Zugriff auf Code erlangt haben, führen sie häufig beliebige Befehle aus, um ihre Position zu erweitern. Dazu gehören das Einrichten von Reverse-Shells zu bekannter Cobalt-Strike-Infrastruktur, der Einsatz von Fernüberwachungs- und Verwaltungstools wie MeshAgent, die Manipulation der Datei authorized_keys und die Ermöglichung direkter Root-Anmeldungen. Weitere Schadsoftware, die bei diesen Operationen beobachtet wird, sind VShell, EtherRAT, ShadowPad, XMRig und wiederholte Installationen von SNOWLIGHT.

Um nicht entdeckt zu werden, nutzen die Kampagnen häufig Cloudflare-Tunnel-Endpunkte unter der Domain trycloudflare.com. Dadurch kann der Command-and-Control-Traffic in legitime Dienste eingebettet werden. Anschließend wird eine umfassende Aufklärung durchgeführt, um die Umgebung zu kartieren, die laterale Bewegung zu unterstützen und wertvolle Zugangsdaten zu identifizieren.

Cloud-Zugriffserlangung und Geheimnisaufdeckung

Ein Schwerpunkt dieser Angriffe liegt auf dem Diebstahl von Zugangsdaten in Cloud-Umgebungen. Angreifer fragen Instanz-Metadatendienste von Azure, AWS, Google Cloud Platform und Tencent Cloud ab, um Identitätstoken zu erlangen und ihren Zugriff zu erweitern. Sie setzen außerdem Tools zum Scannen von Geheimnissen wie TruffleHog und Gitleaks sowie benutzerdefinierte Skripte ein, um sensible Daten zu extrahieren. Dies umfasst Versuche, Zugangsdaten für KI und Cloud-native Anwendungen wie OpenAI-API-Schlüssel, Databricks-Token, Kubernetes-Dienstkontoschlüssel und Zugriffstoken, die über die Azure CLI und die Azure Developer CLI erlangt wurden, zu stehlen.

Ausnutzung von Next.js und Datenexfiltration

In einer damit zusammenhängenden Kampagne dokumentierten Forscher die Ausnutzung mehrerer Next.js-Schwachstellen, darunter CVE-2025-29927 und CVE-2025-66478. Letztere war eine frühere Bezeichnung für dasselbe React2Shell-Problem. Die Angriffe zielten darauf ab, systematisch Konfigurationsdateien, Umgebungsvariablen, SSH-Schlüssel, Cloud-Zugangsdaten, Git-Authentifizierungsdaten, Shell-Befehlsverlauf und sensible Systemdateien wie passwd und shadow zu extrahieren. Die Malware etabliert zudem Persistenz, installiert einen SOCKS5-Proxy, öffnet eine Reverse-Shell zu 67.217.57.240 auf Port 888 und setzt einen React-Scanner ein, um das Internet nach weiteren angreifbaren Zielen zu durchsuchen.

Operation PCPcat: Umfang und Auswirkungen

Die unter dem Namen „Operation PCPcat“ geführte gemeinsame Aktivität hat vermutlich bereits 59.128 Server kompromittiert. Analysten werten die Kampagne als Indiz für groß angelegte Informationsbeschaffung und industrialisierte Datenexfiltration. Aktuelle Messungen deuten darauf hin, dass über 111.000 IP-Adressen weiterhin anfällig für die Ausnutzung von React2Shell sind, wobei die meisten in den USA, gefolgt von Deutschland, Frankreich und Indien, liegen. Die gesammelten Telemetriedaten zeigen zudem, dass Hunderte von bösartigen IP-Adressen in Regionen wie den USA, Indien, Großbritannien, Singapur und den Niederlanden innerhalb von nur 24 Stunden aktiv an Ausnutzungsversuchen beteiligt waren.

Im Trend

Am häufigsten gesehen

Wird geladen...