游乐游手机版
首页/科技数码/文章详情

CVE-2025-55182漏洞解析:React2Shell如何威胁IT行业安全

时间:2026-01-29 16:46
该漏洞源于不安全的反序列化过程,服务器在未经验证的情况下接受了客户端数据。攻击主要投放XMRig加密货币挖矿程序,同时伴有多个危险的僵尸网络和远程访问工具。 威胁行为者正通过一个被追踪为CVE-20

这一漏洞的根源在于不安全的反序列化过程,使得服务器在未经验证的情况下就接收了客户端提交的数据。攻击者主要投放了XMRig加密货币挖矿程序,同时还部署了多个危险的僵尸网络和远程访问工具。

威胁行为者正通过一个被追踪为CVE-2025-55182的关键漏洞(俗称React2Shell),针对保险、电子商务和IT行业的公司发起攻击。该漏洞存在于处理React Server Components客户端与服务端通信的Flight协议中,允许攻击者在易受攻击的服务器上执行未经授权的代码。

此漏洞源于不安全的反序列化过程,服务器未经验证便接受了客户端数据。攻击中主要植入了XMRig加密货币挖矿程序,并伴有多个危险的僵尸网络和远程访问工具。

攻击活动特点

这些利用活动展现出惊人的速度和复杂性。BI.ZONE分析师指出,攻击者能够在漏洞披露后数小时内将其武器化,尽管许多此类安全漏洞在实际场景中从未被广泛利用。针对俄罗斯实体的攻击专门部署了RustoBot和Kaiji僵尸网络,而针对其他地区的攻击活动则分发了更广泛的恶意软件,包括CrossC2植入程序、Tactical RMM、VShell后门和EtherRAT木马。

React2Shell影响多个版本的React Server Component软件包,包括react-server-dom-webpack、react-server-dom-parcel和react-server-dom-turbopack的19.0、19.1.0、19.1.1和19.2.0版本。相关补丁已在19.0.1、19.1.2和19.2.1版本中发布。BI.ZONE研究人员发现,仅仅修复漏洞是不够的,组织还必须评估其系统是否存在成功利用和利用后活动的迹象,因为这些攻击通常涉及多种恶意操作。

防护建议

除了打补丁外,开发人员还应验证其Next.js版本和依赖项,更新后重新构建项目,并检查锁定文件以确认已删除易受攻击的软件包版本。专家建议在生产环境中限制使用实验性React Server Components功能,除非当前安全补丁已覆盖这些功能。

感染机制与恶意软件部署

攻击链始于威胁行为者利用React2Shell在受感染容器内执行命令。获得初始访问权限后,攻击者从远程服务器下载并执行Bash脚本来部署恶意负载。例如,wocaosinm.sh脚本会下载被识别为Kaiji僵尸网络架构特定的ELF可执行文件,该僵尸网络通过systemd服务、crontab任务和修改后的系统工具执行DDoS攻击并建立持久性。

另一种部署方法涉及setup2.sh脚本,该脚本通过下载包含挖矿程序配置和可执行文件的压缩包来安装XMRig 6.24.0版本。随后,alive.sh脚本会终止任何CPU占用超过40%的进程,但XMRig挖矿程序本身及其白名单进程除外。

\

攻击者还通过nslookup等工具使用DNS隧道技术,利用编码的子域名查询将命令执行结果外泄到外部域。

高级攻击向量

用于Cobalt Strike的CrossC2框架负载代表了另一种复杂的攻击向量。这些UPX打包的可执行文件包含嵌入在文件尾部的加密配置,使用AES-128-CBC算法解密。

\

check.sh脚本将这些负载保存为rsyslo,并创建一个systemd服务以实现持久性,将恶意软件伪装成“Rsyslo AV Agent Service”以避免检测。

EtherRAT恶意软件通过建立五种不同的方法展示了卓越的持久性能力:systemd服务、XDG Autostart条目、crontab任务、.bashrc修改和.profile修改。这款基于JavaScript的恶意软件从以太坊智能合约中获取其命令和控制服务器地址,使得传统拦截方法效果不佳。

来源:https://www.51cto.com/article/835263.html
上一篇特斯拉2025年营收利润双降,转型AI与机器人带动股价上扬 下一篇彻底卸载Notepad++:5步干净移除,解决残留与冲突
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
酷态科电能仓600开启预约同时充7台设备首发1299元
科技数码 · 2026-07-01

酷态科电能仓600开启预约同时充7台设备首发1299元

酷态科在户外电源市场又带来了一款重磅新品——电能仓600,今天(7月1日)上午官方微博正式宣布开启预约,7月7日上午10点开售。这款产品的定价相当有竞争力:日常价1399元,首发直接优惠至1299元。 先聊聊它的核心参数:额定功率600W,但支持升维驱动至1000W。这是什么意思呢?像热水壶、养生壶

倍思四款旗舰降噪耳机搭载中科蓝讯BT8972H上市
科技数码 · 2026-07-01

倍思四款旗舰降噪耳机搭载中科蓝讯BT8972H上市

近年来,主动降噪(ANC)与AI通话降噪(ENC)已成为TWS耳机的核心功能,消费者对耳机的期待也在持续攀升——既要通勤时的安静沉浸,又要通话时的清晰无扰。不过,真正将这两项性能打磨至行业顶尖水准的,往往取决于底层芯片的实力。中科蓝讯最新推出的BT8972H音频平台芯片,在ANC主动降噪和ENC通话

中科蓝讯BT8972H助力倍思四款旗舰降噪耳机上市
科技数码 · 2026-07-01

中科蓝讯BT8972H助力倍思四款旗舰降噪耳机上市

如今,主动降噪与AI通话降噪已成为TWS耳机市场的核心竞争领域。消费者对半入耳式和入耳式耳机在降噪、通透模式及高清通话方面的需求持续攀升,这对芯片方案的性能提出了更高要求。在此背景下,中科蓝讯推出全新一代BT8972H音频平台芯片,在ANC主动降噪与ENC环境降噪两大核心功能上实现了突破性升级。凭借

三星Galaxy Glasses功能曝光 手势控制多设备联动
科技数码 · 2026-07-01

三星Galaxy Glasses功能曝光 手势控制多设备联动

三星的下一代智能穿戴设备——Galaxy Glasses,近期因配套应用及演示内容曝光,再度向外界揭示了大量硬核细节。此次泄露的信息显示,这款智能眼镜并非孤立硬件,而是三星联手谷歌、Warby Parker以及Gentle Monster共同打造的成果,搭载Android XR平台,并运行三星自家的

AI助推网络攻击工具 苹果提前发布iOS安全更新
科技数码 · 2026-07-01

AI助推网络攻击工具 苹果提前发布iOS安全更新

据路透社今日凌晨报道,苹果公司在安全策略上做出了一项关键调整:为应对由AI加速开发的网络攻击工具所引发的安全风险,苹果决定将部分原本计划随新版iOS系统一同推送的更新,提前向所有用户开放。 苹果官方给出的解释是,当前人工智能技术已能够显著提升恶意攻击工具的开发效率,因此安全更新从发布到抵达用户设备的