上週React開發團隊揭露滿分漏洞CVE-2025-55182(React2Shell),後續AWS提出警告,Earth Lamia與Jackpot Panda等多組中國國家級駭客組織,在漏洞公布不久就開始積極利用,現在有其他資安業者及研究機構揭露調查情形。
威脅情報業者GreyNoise指出,他們大約從世界協調時間(UTC)12月5日凌晨5時左右,開始偵測到積極嘗試利用的情況,並指出攻擊者同時使用新舊基礎設施來從事相關活動,該公司根據HTTP用戶端與TCP堆疊的用戶特徵(fingerprint),確認是高度自動化的攻擊,儘管這是早期針對React2Shell的活動,不過,已有Mirai及其他殭屍網路將其加入漏洞利用工具。
根據GreyNoise的分析平臺顯示,目前有121個攻擊IP位址利用React2Shell,其中有30個位於美國,但也有來自中國、荷蘭,以及新加坡的攻擊。對於攻擊目標的部分,涵蓋美國、印度、德國、英國,以及巴基斯坦等10個國家。
攻擊者如何展開試圖入侵的行動?他們主要是利用公開的概念驗證(PoC)程式碼為基礎,使用第一階段的有效酬載進行執行驗證(Proof-of-Execution,PoE)探測活動,假若成功利用漏洞,就會使用PowerShell下載第二階段的工具並執行。接著,攻擊者就會利用第二階段的有效酬載,繞過防惡意軟體掃描介面(AMSI)的偵測機制,以便執行後續的攻擊活動。
過程中,攻擊者下達「簡單數學運算(Cheap math)」的PowerShell指令利用漏洞,這麼做的目的,主要是因為這麼做對於端點而言,不會寫入檔案,也不會有網路連線活動,能讓攻擊者留下最少的足跡;再者,由於相關命令並未包含特殊的關鍵字,使得資安業者難以建立偵測規則。
資安業者Palo Alto Networks旗下威脅情報團隊Unit 42,也向資安新聞網站Bleeping Computer與CyberScoop透露調查結果,他們指出,被稱為UNC5174或CL-STA-1015的中國國家級駭客,利用React2Shell入侵企業環境,得逞後部署惡意軟體載入工具Snowlight與後門程式Vshell,而且,過程裡還會竊取AWS組態及憑證檔案,至少有30家企業組織受害。
另一個警示來自美國網路安全暨基礎設施安全局(CISA),12月5日公告React2Shell已被用於實際攻擊,將其加入已遭利用的漏洞列表(KEV),要求聯邦機構於12月26日前完成修補。
值得留意的是,全球可能仍有大量的React伺服器尚未修補而曝險。Shadowserver基金會提出警告,12月5日全球仍有77,664個IP位址存在React2Shell,其中以美國最多,有近2.4萬臺,德國、法國居次,分別有約9,400臺及4,700臺。事隔一天,曝險React伺服器數量已大幅下降,6日最多仍是美國,不過數量已降至1.24萬臺,德國與中國居次,分別有4,300臺及2,600臺,至於臺灣,仍有60臺伺服器尚未修補。
熱門新聞
2026-01-16
2026-01-21
2026-01-19
2026-01-21
2026-01-20
2026-01-20