Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

React2Shell Vulnerability Actively Exploited to Deploy Linux Backdoors

3 minute de lecture

Mis à jour :

Exploitation de React2Shell pour le déploiement de backdoors Linux

Une vulnérabilité de sécurité baptisée React2Shell est activement exploitée par des acteurs malveillants pour déployer des familles de malwares telles que KSwapDoor et ZnDoor. Cette faille, identifiée sous la référence CVE-2025-55182 (score CVSS 10.0), permet l’exécution de commandes arbitraires et le post-exploitation.

Plusieurs groupes liés à la Chine ont exploité cette vulnérabilité pour distribuer divers malwares, dont des utilitaires de tunneling (MINOCAT), des téléchargeurs (SNOWLIGHT), des backdoors (COMPOOD, HISONIC, ANGRYREBEL) et des outils d’accès à distance sophistiqués comme KSwapDoor. Ce dernier se distingue par sa conception furtive, son réseau interne entre serveurs compromis, son chiffrement militaire et un mode “sleeper” pour contourner les pare-feux.

Les attaques observées impliquent souvent l’exécution d’une commande bash pour télécharger et exécuter une charge utile depuis un serveur distant. Les malwares déployés offrent des fonctionnalités variées : exécution de commandes, accès interactif à un shell, opérations sur les fichiers, scan pour le mouvement latéral, création de proxies SOCKS5, et redirection de ports.

Certains attaquants exploitent également cette faille pour dérober des identifiants, ciblant les points d’accès aux métadonnées des instances cloud (Azure, AWS, GCP, Tencent Cloud) afin d’obtenir des jetons d’identité. Des outils comme TruffleHog et Gitleaks sont utilisés pour extraire des secrets, y compris des clés API et des jetons de services cloud.

En outre, des vulnérabilités dans Next.js, incluant CVE-2025-29927 et CVE-2025-66478 (la même faille que React2Shell), ont été exploitées pour extraire systématiquement des informations sensibles comme les fichiers d’environnement, les clés SSH, les identifiants cloud et Git, ainsi que l’historique des commandes.

Les attaques sont caractérisées par l’utilisation de tunnels Cloudflare pour échapper aux défenses et par des campagnes de reconnaissance visant le mouvement latéral et le vol d’identifiants. Des millions de serveurs seraient potentiellement vulnérables, avec une concentration notable aux États-Unis, en Allemagne, en France et en Inde.

Points Clés :

  • Vulnérabilité : React2Shell (CVE-2025-55182, CVSS 10.0) affectant React Server Components.
  • Acteurs : Multiples groupes, notamment liés à la Chine, ainsi que des acteurs exploitant KSwapDoor et ZnDoor.
  • Malwares : KSwapDoor, ZnDoor, MINOCAT, SNOWLIGHT, COMPOOD, HISONIC, ANGRYREBEL (Noodle RAT), VShell, EtherRAT, ShadowPad, XMRig.
  • Techniques : Exécution de commandes à distance, déploiement de backdoors, création de tunnels, vol d’identifiants cloud, dérobage de secrets.
  • Infrastructure C&C : Utilisation de tunnels Cloudflare, serveurs C&C pour le contrôle des malwares.
  • Impact : Vol de données sensibles, dérobage d’identifiants cloud, installation de backdoors persistants.

Vulnérabilités mentionnées :

  • CVE-2025-55182 : Référence principale de la vulnérabilité React2Shell (React Server Components Unsafe Deserialization RCE).
  • CVE-2025-29927 : Mentionnée dans le contexte d’exploitation de Next.js pour le vol de données.
  • CVE-2025-66478 : Liée aux bugs RSC dans React et Next.js, considérée comme un doublon de CVE-2025-55182.

Recommandations (implicites et explicites dans le texte) :

  • Mise à jour : Il est crucial de patcher les systèmes affectés par CVE-2025-55182 et d’appliquer les mises à jour de sécurité pour React et Next.js.
  • Surveillance réseau : Surveiller le trafic réseau suspect, notamment les connexions vers des points d’extrémité Cloudflare suspects (*.trycloudflare.com).
  • Gestion des identifiants : Sécuriser et surveiller l’accès aux identifiants cloud et autres secrets sensibles. Utiliser des outils de découverte de secrets pour identifier les fuites potentielles.
  • Segmentation réseau : Mettre en place une segmentation réseau pour limiter la propagation latérale en cas de compromission.
  • Analyse des journaux : Examiner attentivement les journaux système et applicatifs pour détecter les signes d’exploitation et de post-exploitation.
  • Protection des points d’accès cloud : Renforcer la sécurité des points d’accès aux métadonnées des instances cloud.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces