React2Shell-angrebet er nu en del af en automatiseret kampagne, der stjæler loginoplysninger fra moderne webapplikationer. Angribere udnytter en kritisk sårbarhed for at få adgang til følsomme data i stor skala. Sikkerhedsforskere advarer om, at aktiviteten fortsætter og breder sig.
Kritisk sårbarhed muliggør fjernadgang
Angrebet udnytter en sårbarhed i React-baserede miljøer, som gør det muligt at køre kode eksternt. Angribere kan sende specialudformede forespørgsler til sårbare servere og udløse fejlen uden autentificering.
Når de først får adgang, kan de overtage kontrol over det berørte system. Denne adgang gør det muligt at køre kommandoer, installere scripts og bevæge sig videre i miljøet.
Problemet påvirker applikationer, der er bygget på moderne rammeværk med serverbaseret React-funktionalitet.
Automatisering driver angreb i stor skala
Trusselsaktører scanner efter eksponerede systemer og gennemfører angreb automatisk. I stedet for at målrette specifikke organisationer fokuserer de på volumen.
Denne tilgang gør det muligt at kompromittere mange systemer på kort tid. Automatiserede værktøjer identificerer sårbare endepunkter og udnytter sårbarheden med minimal indsats.
Forskere har observeret aktivitet på tværs af flere regioner, hvilket viser, hvor hurtigt kampagnen spreder sig.
Angribere fokuserer på at indsamle loginoplysninger
Efter at have fået adgang anvender angribere scripts til at udtrække følsomme data. Deres primære mål er at indsamle oplysninger, der giver yderligere adgang.
De går efter:
- API-nøgler
- adgangstokens
- SSH-legitimationsoplysninger
- miljøvariabler
Disse data giver ofte direkte adgang til cloudtjenester og interne systemer. Angribere kan genbruge dem eller sælge dem videre til andre grupper.
Stjålne data muliggør yderligere angreb
De indsamlede oplysninger gør det muligt for angribere at udvide deres rækkevidde. De kan få adgang til tilknyttede systemer, eskalere rettigheder og opretholde vedvarende adgang.
I mange tilfælde kan én kompromitteret applikation åbne døren til en større infrastruktur. Det gør tyveri af loginoplysninger særligt værdifuldt i moderne miljøer.
Kampagnen fokuserer på at indsamle så meget data som muligt frem for at forstyrre systemerne med det samme.
Uopdaterede systemer forbliver eksponerede
Mange organisationer kører stadig sårbare versioner af de berørte rammeværk. Det skaber en stor angrebsflade for automatiseret udnyttelse.
Sikkerhedsteams bør hurtigt opdatere systemer og rotere eksponerede legitimationsoplysninger. Overvågning af adgangslogs og begrænsning af rettigheder kan også reducere risikoen.
Uden disse tiltag kan angribere fortsætte med at udnytte eksponerede systemer i stor skala.
Konklusion
React2Shell-angrebet viser, hvordan angribere omdanner kritiske sårbarheder til automatiserede kampagner. Ved at fokusere på tyveri af loginoplysninger får de adgang til værdifulde systemer uden straks at blive opdaget. Så længe sårbare applikationer forbliver online, vil risikoen fortsætte med at vokse.
0 svar til “React2Shell-angreb bruges i automatiseret kampagne til tyveri af loginoplysninger”