聚焦源代码安全,网罗国内外最新资讯!
React2Shell是一个无需身份验证的远程代码执行漏洞,攻击者仅需发送一个HTTP请求即可利用该漏洞。此漏洞影响所有实现了React服务器组件的框架,其中包括采用相同反序列化逻辑的Next.js。
12月3日,React团队公开披露了此漏洞,指出React服务器组件中对客户端可控数据进行不安全的反序列化,使得攻击者能够远程、无需认证地执行任意命令。开发人员需将 React 更新至最新版本、重构应用并重新部署以修复该漏洞。
12月4日,有研究员发布了可运行的 PoC 证实了该漏洞可在未修复服务器上实现远程命令执行。之久不久,随着攻击者和安全研究人员开始通过自动化工具利用该 exp,对该漏洞的扫描快速增长。
Shadowserver Internet 报道称,已经检测到77664个IP地址易受 React2Shell 漏洞影响,其中约2.37万个位于美国。研究人员通过由 Searchlight Cyber/Assetnote 开发的检测技术判断这些IP地址易受攻击。它们将一个HTTP请求发送到服务器以利用该漏洞,并查看一条特定响应来证实设备是否易受攻击。
GreyNoise 公司也发现181个唯一 IP 地址尝试在过去的24小时内利用该漏洞,其中多数流量似乎都是自动化实施的。研究人员提到这些扫描主要来自荷兰、美国等国家或地区。
Palo Alto Networks 公司报道称超过30家组织机构已遭该 React2Shell 漏洞攻陷。攻击者利用该漏洞运行命令、执行侦查活动并试图窃取 AWS 配置和凭据文件。
自从该漏洞披露后,研究人员和威胁情报公司就观察到大规模利用。
GreyNoise 公司提到攻击者经常通过 PowerShell 命令执行简单的数据函数,确认设备是否受该漏洞影响。这些测试会返回可预测的结果,同时留下最小利用痕迹。
一旦确认远程代码执行后果,攻击者就会执行 base64 编码的 PowerShell 命令,将其它脚本直接下载到内存。其中一条命令执行了来自某外部站点的第二阶段 PowerShell 脚本以禁用 AMSI,绕过端点安全并部署其它 payload。
VirusToal 表示,该 PowerShell 脚本在目标设备上安装了一个 Cobalt Strike 信标,导致威胁行动者立足网络。
亚马逊AWS威胁情报团队也发现该漏洞披露几小时后即遭快速利用。
鉴于该漏洞的严重性,全球各地的企业都匆忙安装补丁并部署缓解措施。昨天,Cloudflare 公司紧急发布针对 WAF 的检测和缓解措施,不过该更新在规则被更正前引发宕机事件,影响大量网站。
CISA 还将该漏洞加入其“已知利用漏洞 (KEV)” 分类表,要求联邦机构在2025年12月26日前修复。建议使用 React 服务器组件或构建于这些组件基础上的框架的组织机构,立即应用安全更新、重构和重新部署应用并查看日志中是否存在 PowerShell 的迹象或 shell 命令执行。
速修复!React满分漏洞同时影响 Next.js,可导致未认证RCE
https://www.bleepingcomputer.com/news/security/react2shell-flaw-exploited-to-breach-30-orgs-77k-ip-addresses-vulnerable/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~