کمیته رکن چهارم– یک آسیبپذیری خطرناک با نام React2Shell در نرمافزارهای مبتنی بر لینوکس شناسایی شده که به مهاجمان امکان میدهد کنترل کامل سرورها را در اختیار بگیرند. این آسیبپذیری با شناسه CVE-2025-55182 و امتیاز حداکثری ۱۰٫۰، هماکنون توسط چند گروه مهاجم بهطور فعال برای نصب بدافزارهای مخرب استفاده میشود.
به گزارش کمیته رکن چهارم، دو بدافزار به نامهای KSwapDoor و ZnDoor از جمله تهدیدهای اصلی ناشی از این آسیبپذیری هستند. KSwapDoor با ظاهر برنامههای قانونی لینوکس در سیستم پنهان میشود، ارتباطات خود را رمزگذاری میکند و قابلیتهایی مانند اجرای دستورات، ارتباط بین سرورها و عبور از دیوارههای آتش را دارد. ZnDoor نیز در حملاتی در ژاپن شناسایی شده و امکان اجرای مستقیم دستورات و انتقال فایلها را به مهاجم میدهد.
بررسیهای شرکتهای امنیتی مانند گوگل، مایکروسافت و NTT نشان میدهد که گروههای مهاجمی مرتبط با چین از این آسیبپذیری برای انتشار بدافزارهایی مانند VShell، EtherRAT، ShadowPad و ماینر رمزارز XMRig استفاده کردهاند. همچنین، حملات گستردهای با استفاده از سرویسهایی مثل Cloudflare برای عبور از فایروالها انجام شده که هدف اصلی آنها سرقت اطلاعات محرمانه و توکنهای احراز هویت سرویسهای ابری است.
در یک کمپین دیگر موسوم به Operation PCPcat، مهاجمان با استفاده از آسیبپذیریهای مرتبط در Next.js، توانستهاند به بیش از ۵۹ هزار سرور نفوذ کنند. فایلهایی نظیر کلیدهای SSH، توکنهای AWS، و فایلهای پیکربندی سیستم هدف استخراج شدهاند.
گزارش بنیاد Shadowserver نشان میدهد که بیش از ۱۱۱ هزار آدرس IP در جهان در برابر این آسیبپذیری آسیبپذیر هستند که سهم آمریکا بیش از ۷۷ هزار مورد است. با توجه به گستردگی و شدت این حملات، کارشناسان توصیه میکنند که مدیران سیستمها هرچه سریعتر بهروزرسانیهای امنیتی را نصب و وابستگیهای React و Next.js را بررسی کنند. همچنین نظارت دقیق روی فعالیتهای شبکه برای شناسایی تهدیدات احتمالی ضروری است.
