Vulnerabilità React2Shell: un pericolo per la sicurezza informatica
La vulnerabilità nota come React2Shell sta essere sfruttata da hacker per consegnare famiglie di malware come KSwapDoor e ZnDoor, secondo le scoperte di Palo Alto Networks Unit 42 e NTT Security. KSwapDoor è uno strumento di accesso remoto professionale progettato per essere stealth, che costruisce una rete mesh interna, permettendo ai server compromessi di comunicare tra loro e evitare i blocchi di sicurezza.
La società di sicurezza ha notato che KSwapDoor utilizza la crittografia di grado militare per nascondere le sue comunicazioni e presenta una modalità “sleeper” che consente agli attaccanti di bypassare i firewall con un segnale segreto e invisibile. ZnDoor, invece, è un malware che è stato rilevato in natura dal dicembre 2023 e viene utilizzato per consegnare payload ai server compromessi. Gli attacchi coinvolgono l’esecuzione di un comando bash per recuperare il payload da un server remoto e eseguirlo.
La vulnerabilità React2Shell: una minaccia globale
La vulnerabilità, tracciata come CVE-2025-55182, ha un punteggio CVSS di 10,0 e sta essere sfruttata da più attori minacciosi, tra cui almeno cinque gruppi connessi alla Cina. La vulnerabilità è stata utilizzata per consegnare una varietà di payload, tra cui tunneling utility, downloader, backdoor e ransomware. La Shadowserver Foundation sta attualmente tracciando oltre 111.000 indirizzi IP vulnerabili a React2Shell, con oltre 77.800 istanze negli Stati Uniti, seguiti da Germania, Francia e India.
