Devis de remise multi-licences
Données concernant les menaces Vulnérabilité Vulnérabilité de React2Shell

Vulnérabilité de React2Shell

Par Mezo en Vulnérabilité, Menace persistante avancée (APT), Logiciels malveillants
Se traduisent par :

Des chercheurs en sécurité ont confirmé que la vulnérabilité critique React2Shell est activement exploitée par plusieurs acteurs malveillants pour compromettre les systèmes Linux. Cette faille est utilisée pour déployer plusieurs familles de logiciels malveillants, notamment KSwapDoor et ZnDoor, permettant un accès profond et persistant aux environnements affectés. Cette exploitation en cours souligne la rapidité avec laquelle les failles applicatives à fort impact sont mises en œuvre une fois découvertes.

KSwapDoor : une porte dérobée Linux furtive

KSwapDoor est un outil d'accès à distance sophistiqué, conçu pour rester indétectable pendant de longues périodes. Il établit un réseau maillé interne permettant aux serveurs infectés de communiquer entre eux, ce qui permet aux attaquants de contourner les défenses périmétriques et de maintenir leur résilience même si certains nœuds sont bloqués. Son trafic réseau est protégé par un chiffrement robuste, rendant l'inspection et la détection considérablement plus difficiles. L'une de ses fonctionnalités les plus préoccupantes est son état dormant, qui permet au logiciel malveillant de rester inactif jusqu'à ce qu'il reçoive un signal discret le réactivant, contournant ainsi les pare-feu.

Les chercheurs ont précisé que KSwapDoor avait été confondu avec BPFDoor. Il s'agit en réalité d'une porte dérobée Linux permettant l'accès interactif à l'interpréteur de commandes, l'exécution de commandes arbitraires, la manipulation de fichiers et la recherche d'opportunités de déplacement latéral. Pour se fondre davantage dans le système, elle se fait passer pour un démon de swap légitime du noyau Linux, réduisant ainsi le risque d'éveiller les soupçons lors d'une surveillance système de routine.

Campagnes ZnDoor ciblant les organisations japonaises

Parallèlement, des organisations au Japon ont été la cible d'attaques exploitant React2Shell pour diffuser ZnDoor. Ce cheval de Troie d'accès à distance a été observé en situation réelle depuis au moins décembre 2023. Ces intrusions débutent généralement par une simple commande bash qui récupère la charge utile depuis un serveur distant à l'adresse 45.76.155.14 à l'aide de wget, puis l'exécute localement.

Une fois installé, ZnDoor se connecte à l'infrastructure contrôlée par l'attaquant pour recevoir des instructions et les exécuter. Ses fonctionnalités sont étendues et permettent un contrôle total sur l'hôte compromis, comme l'illustre la liste des commandes prises en charge ci-dessous :

  • shell et shell interactif pour l'exécution directe de commandes et l'accès interactif
  • explorer, explorer_cat, explorer_delete, explorer_upload et explorer_download pour les opérations sur les fichiers et les répertoires
  • système de collecte d'informations sur l'hôte
  • change_timefile pour modifier les horodatages des fichiers
  • socket_quick_startstreams pour lancer un proxy SOCKS5
  • start_in_port_forward et stop_in_port permettent de gérer la redirection de ports.

CVE-2025-55182 et l’armement multi-groupes

Cette activité accrue coïncide avec l'exploitation généralisée de la vulnérabilité CVE-2025-55182, une faille de sécurité de React2Shell ayant obtenu le score CVSS maximal de 10.0. Au moins cinq groupes de cybercriminels liés à la Chine ont été observés en train d'exploiter cette faille pour diffuser divers logiciels malveillants, notamment des outils de tunneling, des téléchargeurs et plusieurs portes dérobées Linux. Parmi ces logiciels figurent MINOCAT, SNOWLIGHT, COMPOOD, une variante mise à jour de HISONIC qui se fond dans le trafic légitime via Cloudflare Pages et GitLab, ainsi qu'une version Linux d'ANGRYREBEL, également connue sous le nom de Noodle RAT.

Abus post-exploitation et diversité des charges utiles

Après avoir obtenu l'exécution initiale de code, les attaquants lancent généralement des commandes arbitraires pour renforcer leur emprise. Cela inclut l'établissement de shells inversés vers l'infrastructure Cobalt Strike connue, le déploiement d'outils de surveillance et de gestion à distance tels que MeshAgent, la modification du fichier authorized_keys et l'activation des connexions root directes. Parmi les autres charges utiles observées lors de ces opérations figurent VShell, EtherRAT, ShadowPad, XMRig et des déploiements répétés de SNOWLIGHT.

Pour échapper à la détection, les campagnes s'appuient fréquemment sur des points de terminaison de tunnel Cloudflare sous le domaine trycloudflare.com, permettant ainsi au trafic de commande et de contrôle de se fondre parmi les services légitimes. Une reconnaissance approfondie est ensuite menée afin de cartographier l'environnement, de faciliter les déplacements latéraux et d'identifier les identifiants précieux.

Collecte d’identifiants cloud et découverte de secrets

L'un des principaux axes de ces attaques est le vol d'identifiants dans les environnements cloud. Des acteurs malveillants ont été observés interrogeant les services de métadonnées d'instances d'Azure, d'AWS, de Google Cloud Platform et de Tencent Cloud afin d'obtenir des jetons d'identité et d'étendre leurs droits d'accès. Ils déploient également des outils d'analyse de secrets tels que TruffleHog et Gitleaks, ainsi que des scripts personnalisés, pour extraire des informations sensibles. Cela inclut des tentatives de vol d'identifiants d'IA et de services cloud natifs, comme les clés API OpenAI, les jetons Databricks, les secrets des comptes de service Kubernetes et les jetons d'accès obtenus via Azure CLI et Azure Developer CLI.

Exploitation de Next.js et exfiltration de données

Dans le cadre d'une campagne connexe, des chercheurs ont documenté l'exploitation de plusieurs failles de Next.js, notamment CVE-2025-29927 et CVE-2025-66478, cette dernière étant un identifiant antérieur pour la même vulnérabilité React2Shell. Ces attaques visaient à extraire systématiquement des fichiers de configuration, des variables d'environnement, des clés SSH, des identifiants cloud, des données d'authentification Git, l'historique des commandes shell et des fichiers système sensibles tels que passwd et shadow. Le malware assure également sa persistance, installe un proxy SOCKS5, ouvre un shell inversé vers 67.217.57.240 sur le port 888 et déploie un scanner React pour rechercher d'autres cibles vulnérables sur Internet.

Opération PCPcat : Échelle et impact

L'activité combinée, menée sous le nom d'opération PCPcat, aurait déjà compromis 59 128 serveurs. Les analystes considèrent cette campagne comme révélatrice d'une collecte de renseignements à grande échelle et d'une exfiltration de données industrialisée. Les mesures actuelles indiquent que plus de 111 000 adresses IP restent vulnérables à l'exploitation de la faille React2Shell, principalement aux États-Unis, suivis de l'Allemagne, de la France et de l'Inde. Les données télémétriques recueillies montrent également que des centaines d'adresses IP malveillantes, notamment aux États-Unis, en Inde, au Royaume-Uni, à Singapour et aux Pays-Bas, ont participé activement à des tentatives d'exploitation au cours des dernières 24 heures.

Tendance

Le plus regardé

Chargement...