React2Shell-attack används i automatiserad kampanj för stöld av inloggningsuppgifter

React2Shell-attack används i automatiserad kampanj för stöld av inloggningsuppgifter

React2Shell-attacken är nu en del av en automatiserad kampanj för att stjäla inloggningsuppgifter från moderna webbapplikationer. Angripare utnyttjar en kritisk sårbarhet för att få tillgång till känslig data i stor skala. Säkerhetsforskare varnar för att aktiviteten pågår och fortsätter att växa.

Kritisk sårbarhet möjliggör fjärråtkomst

Attacken bygger på en sårbarhet i React-baserade miljöer som möjliggör fjärrkörning av kod. Angripare kan skicka specialutformade förfrågningar till sårbara servrar och utlösa felet utan autentisering.

När de väl har tagit sig in får de kontroll över det drabbade systemet. Denna åtkomstnivå gör det möjligt att köra kommandon, installera skript och ta sig vidare in i miljön.

Problemet påverkar applikationer som bygger på moderna ramverk med serverbaserad React-funktionalitet.

Automatisering driver storskaliga attacker

Hotaktörer söker aktivt efter exponerade system och genomför attacker automatiskt. I stället för att rikta in sig på enskilda organisationer fokuserar de på volym.

Detta gör att angripare kan kompromettera många system på kort tid. Automatiserade verktyg identifierar sårbara ändpunkter och utnyttjar sårbarheten med minimal ansträngning.

Forskare har observerat aktivitet i flera regioner, vilket visar hur snabbt kampanjen sprids.

Angripare fokuserar på att samla in inloggningsuppgifter

Efter att ha fått åtkomst använder angripare skript för att extrahera känslig data. Deras huvudsakliga mål är att samla in uppgifter som ger vidare tillgång.

De riktar in sig på:

  • API-nycklar
  • åtkomsttoken
  • SSH-uppgifter
  • miljövariabler

Dessa tillgångar ger ofta direkt åtkomst till molntjänster och interna system. Angripare kan återanvända dem eller sälja dem vidare till andra aktörer.

Stulen data möjliggör vidare attacker

Den insamlade datan gör det möjligt för angripare att utöka sin räckvidd. De kan få tillgång till anslutna system, höja sina behörigheter och behålla åtkomst över tid.

I många fall räcker en komprometterad applikation för att öppna dörren till en större infrastruktur. Detta gör stöld av inloggningsuppgifter särskilt värdefull i moderna miljöer.

Kampanjen fokuserar på att samla in så mycket data som möjligt snarare än att omedelbart störa systemen.

Opatchade system förblir exponerade

Många organisationer använder fortfarande sårbara versioner av berörda ramverk. Det skapar en stor attackyta för automatiserad exploatering.

Säkerhetsteam behöver snabbt uppdatera system och rotera exponerade uppgifter. Övervakning av åtkomstloggar och begränsning av behörigheter kan också minska risken.

Utan dessa åtgärder kan angripare fortsätta utnyttja exponerade system i stor skala.

Slutsats

React2Shell-attacken visar hur angripare kan omvandla kritiska sårbarheter till automatiserade kampanjer. Genom att fokusera på stöld av inloggningsuppgifter får de tillgång till värdefulla system utan att direkt upptäckas. Så länge sårbara applikationer är tillgängliga online kommer risken att fortsätta öka.

Siyana Georgieva

0 svar till ”React2Shell-attack används i automatiserad kampanj för stöld av inloggningsuppgifter”