Attackers Exploiting React2Shell Vulnerability to Attack IT Sectors

ผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ร้ายแรง React2Shell (CVE-2025-55182) ซึ่งมีอยู่ในโปรโตคอล Flight ของ React Server Components เพื่อรันโค้ดที่ไม่ได้รับอนุญาตบนเซิร์ฟเวอร์ที่อ่อนแอ การโจมตีนี้พุ่งเป้าไปที่บริษัทในภาคประกันภัย อีคอมเมิร์ซ และไอที โดยแพร่กระจายมัลแวร์ขุดคริปโต XMRig บอตเน็ต (RustoBot, Kaiji) และเครื่องมือเข้าถึงระยะไกล (CrossC2, Tactical RMM, VShell backdoors, EtherRAT) ช่องโหว่นี้เกิดจากการ deserialization ที่ไม่ปลอดภัย และการโจมตีเกิดขึ้นอย่างรวดเร็วหลังการเปิดเผยข้อมูลช่องโหว่

Severity: วิกฤต

System Impact:

• ช่องโหว่: CVE-2025-55182 (React2Shell)
• โปรโตคอลที่ได้รับผลกระทบ: Flight protocol สำหรับ React Server Components
• แพ็กเกจที่ได้รับผลกระทบ: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack
• เวอร์ชันที่ได้รับผลกระทบ: 19.0, 19.1.0, 19.1.1, และ 19.2.0
• ภาคส่วนเป้าหมาย: ประกันภัย, อีคอมเมิร์ซ, ไอที
• ส่วนประกอบระบบที่ได้รับผลกระทบทางอ้อม (จากมัลแวร์): ระบบ Linux (สำหรับบอตเน็ต Kaiji, systemd, crontab, .bashrc, .profile), เซิร์ฟเวอร์ทั่วไป (สำหรับ XMRig, CrossC2, Tactical RMM, VShell, EtherRAT)

Technical Attack Steps:

1. 1. การเข้าถึงเริ่มต้น: ผู้โจมตีใช้ช่องโหว่ React2Shell (CVE-2025-55182) จากการ deserialization ที่ไม่ปลอดภัยในโปรโตคอล Flight เพื่อรันคำสั่งภายในคอนเทนเนอร์เซิร์ฟเวอร์ที่ถูกบุกรุก
2. 2. การส่งมอบเพย์โหลด (Bash Scripts): ผู้โจมตีดาวน์โหลดและรันสคริปต์ Bash (เช่น wocaosinm.sh, setup2.sh) จากเซิร์ฟเวอร์ระยะไกล
3. 3. การติดตั้งมัลแวร์:
4. – wocaosinm.sh: ติดตั้งไฟล์ปฏิบัติการ ELF ที่เหมาะสมกับสถาปัตยกรรม ซึ่งระบุว่าเป็นบอตเน็ต Kaiji (สำหรับการโจมตี DDoS และการคงอยู่ของระบบ)
5. – setup2.sh: ดาวน์โหลดไฟล์เก็บถาวรแบบบีบอัดที่มีการกำหนดค่าและไฟล์ปฏิบัติการของมัลแวร์ขุด XMRig เวอร์ชัน 6.24.0 และติดตั้ง
6. 4. การคงอยู่ของระบบ: มัลแวร์สร้างกลไกการคงอยู่ของระบบผ่านวิธีการต่างๆ เช่น บริการ systemd (เช่น เพย์โหลด CrossC2 ที่ปลอมตัวเป็น ‘Rsyslo AV Agent Service’), งาน crontab, รายการ XDG Autostart (สำหรับ EtherRAT) และการแก้ไขไฟล์ .bashrc และ .profile (สำหรับ EtherRAT)
7. 5. การหลบหลีกการตรวจจับ: สคริปต์ alive.sh จะยุติกระบวนการที่ใช้ CPU สูง (40% ขึ้นไป) ยกเว้น XMRig miner และกระบวนการที่อนุญาต เพื่อรักษาการทำงานของ miner และหลบเลี่ยงการตรวจจับ
8. 6. การควบคุมและสั่งการ (C2) / การส่งข้อมูลออก: เพย์โหลด CrossC2 เป็นไฟล์ปฏิบัติการที่ถูกแพ็คด้วย UPX และมีการกำหนดค่าที่เข้ารหัสอยู่ท้ายไฟล์ มีการใช้ DNS tunneling ผ่าน nslookup เพื่อส่งผลลัพธ์การรันคำสั่งไปยังโดเมนภายนอกผ่านการสอบถาม subdomain ที่เข้ารหัส ส่วน EtherRAT ได้รับที่อยู่เซิร์ฟเวอร์ C2 จาก smart contract ของ Ethereum

Recommendations:

Short Term:

• แก้ไขช่องโหว่ทันที: อัปเดตแพ็กเกจ React Server Component ที่ได้รับผลกระทบเป็นเวอร์ชัน 19.0.1, 19.1.2, และ 19.2.1
• ประเมินการถูกโจมตี: ตรวจสอบระบบเพื่อหาตัวบ่งชี้ของการถูกโจมตีที่สำเร็จและกิจกรรมหลังการโจมตี (เช่น การมีอยู่ของ XMRig, RustoBot, Kaiji, CrossC2, Tactical RMM, VShell backdoors, EtherRAT; สคริปต์ที่น่าสงสัย, บริการ systemd ที่ไม่คาดคิด, รายการ crontab, โปรไฟล์ shell ที่ถูกแก้ไข)
• แยกส่วนระบบที่ได้รับผลกระทบ: แยกเครือข่ายหรือระบบที่ถูกบุกรุกออกจากส่วนอื่นเพื่อป้องกันการแพร่กระจาย

Long Term:

• วงจรการพัฒนาที่ปลอดภัย (SDLC): ใช้แนวทางการเขียนโค้ดที่ปลอดภัย โดยเน้นการตรวจสอบความถูกต้องของอินพุตและการทำ deserialization ที่ปลอดภัย
• การจัดการ Dependency: ตรวจสอบเวอร์ชันและ dependency ของ Next.js อย่างสม่ำเสมอ สร้างโปรเจกต์ใหม่หลังการอัปเดต และตรวจสอบไฟล์ lock เพื่อให้แน่ใจว่าได้ลบเวอร์ชันแพ็กเกจที่มีช่องโหว่ออกแล้ว
• การเสริมความแข็งแกร่งของสภาพแวดล้อม: จำกัดคุณสมบัติ React Server Components ที่เป็น experimental ในสภาพแวดล้อมการผลิต เว้นแต่จะได้รับการแก้ไขช่องโหว่และจำเป็นอย่างยิ่ง
• การเฝ้าระวัง: เพิ่มประสิทธิภาพการเฝ้าระวังเพื่อตรวจจับการใช้ CPU ที่ผิดปกติ, การจราจรเครือข่าย (โดยเฉพาะ DNS tunneling), การแก้ไขไฟล์ที่ไม่คาดคิด และกลไกการคงอยู่ของระบบใหม่ๆ
• การตรวจสอบและทดสอบความปลอดภัย: ทำการตรวจสอบความปลอดภัยและทดสอบการเจาะระบบ (penetration testing) ของแอปพลิเคชันที่ใช้ React Server Components เป็นประจำ

Source: https://cybersecuritynews.com/attackers-exploit-cve-2025-55182-to-attack-it-sectors/