![[Externer Link] Webseite - Autonome Provinz Bozen - Südtirol](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Ausnutzung der React2Shell-Schwachstelle verbreitet Cryptocurrency-Miner und neue Malware in verschiedenen Bereichen
Laut einer neuen Analyse von Sicherheitsforschern wird eine schwerwiegende Schwachstelle in React Server Components (RSC) weiterhin aktiv von böswilligen Angreifern ausgenutzt, um Kryptominers und mehrere bisher unbekannte Malware-Familien zu verbreiten.
Die Schwachstelle, bekannt als React2Shell und identifiziert als CVE-2025-55182, ermöglicht es einem Angreifer, beliebigen Code aus der Ferne ohne Authentifizierung auf anfälligen Servern auszuführen. Die Schwachstelle tritt in den Versionen der React Server Components react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack in Versionen vor den korrigierten Versionen auf.
Huntress-Forscher haben beobachtet, dass Angreifer diese Schwachstelle ausnutzen, um viele Organisationen zu kompromittieren - vor allem in der Bau- und Unterhaltungsbranche - indem sie verwundbare Software wie Next.js-basierte Anwendungen ausnutzen.
Bei einigen dokumentierten Angriffen besteht der anfängliche Vektor aus dem Senden eines einfachen Shell-Skripts, das, wenn es ausgeführt wird, einen XMRig Cryptocurrency Miner oder andere bösartige Komponenten herunterlädt und startet. Andere Nutzlasten umfassen:
- PeerBlight - eine Backdoor für Linux, die verschiedene Kommunikations- und Persistenzfunktionen implementiert;
- CowTunnel - ein Reverse-Proxy-Tunnel, der Verbindungen zu externen Kontrollservern herstellt;
- ZinFoq - eine Post-Exploit-Funktion in Go mit Remote-Shell-, Dateiexfiltrations- und Pivoting-Funktionen;
- Skript-Dropper wie d5.sh und fn22.sh, die für die Installation von Command-and-Control-Frameworks (C2) und Updates verantwortlich sind.
Laut Huntress zeigt die bösartige Aktivität ein konsistentes Muster der automatisierten Ausnutzung, mit ähnlichen Indikatoren der versuchten Kompromittierung und der wiederholten C2-Infrastruktur auf den betroffenen Endpunkten.
Die Shadowserver Foundation berichtet, dass weltweit mehr als 165.000 IP-Adressen und über 644.000 Domänen mit anfälligem Code identifiziert wurden, was die große Angriffsfläche verdeutlicht, die sich aus der Verbreitung anfälliger Software ergibt.
Wichtige Empfehlungen:
- Wenden Sie die verfügbaren Patches sofort an und aktualisieren Sie die RSC-Pakete auf die richtigen Versionen;
- Überprüfen Sie die Exposition von React/Next.js-basierten Anwendungen und reduzieren Sie unnötige externe Zugriffe;
- Überwachen Sie Netzwerkanomalien und verdächtige C2/exec-Aktivitäten von Prozessen aus Webdiensten;
- Erwägen Sie den Einsatz von Anwendungs-Firewalls und Filtermechanismen, um unbefugte Anfragen an Schwachstellen zu begrenzen.
SOC
Andere Pressemitteilungen dieser Kategorie
- Neue ClickFix-Kampagne nutzt Social Engineering zur Verbreitung von Malware über irreführende Eingabeaufforderungen (19.02.2026, 23:00)
- Microsoft behebt eine schwerwiegende Sicherheitslücke in Windows Admin Center, die eine Erhöhung der Berechtigungen ermöglicht (19.02.2026, 23:00)
- Staatlich unterstützte Cyber-Spionagegruppe kompromittiert Regierungsnetzwerke und kritische Infrastrukturen in 37 Ländern (05.02.2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)