Los equipos de seguridad dijeron el martes que están respondiendo a un número creciente de posibles compromisos relacionados con una vulnerabilidad crítica en los componentes del servidor React.
El alcance de la crisis es más amplio de lo esperado, ya que Shadowserver informó más de 165.000 IP y 644.000 dominios con código potencialmente vulnerable después de implementar mejoras en la orientación del escaneo.
Hasta el momento, se ha observado actividad de amenazas posteriores a la explotación en más de 50 organizaciones, dijo Palo Alto Networks a Cybersecurity Dive.
Las organizaciones afectadas trabajan en una variedad de sectores, incluidos medios, servicios financieros, servicios comerciales, tecnología, gobierno federal, estatal y local y telecomunicaciones.
La vulnerabilidad, rastreada como CVE-2025-55182permite a un atacante no autenticado lograr la ejecución remota de código debido a una deserialización insegura de cargas útiles.
El Agencia de Ciberseguridad y Seguridad de Infraestructuras actualizó un aviso vinculado a la vulnerabilidad y pidió a los equipos de seguridad que verificaran si hay signos de actividad comprometida en cualquier instancia de React accesible a Internet después de aplicar las mitigaciones.
A el parche fue emitido antes para abordar el defecto.
Como se informó anteriormente, la vulnerabilidad ha sido atacada por actores vinculados al estado de Chinarastreados como Earth Lamia y Jackpot Panda, según investigadores de AWS.
Palo Alto Networks también informó de un expansión de la actividad de amenazas el martescuando entraron en escena falsos reclutadores de TI potencialmente vinculados con Corea del Norte. Los investigadores dijeron que la campaña, identificada como Entrevista Contagiosa, involucra a reclutadores de TI falsos que instalan malware en las computadoras de quienes buscan empleo.
Un adversario vinculado con Corea del Norte ha estado utilizando una técnica llamada EtherHiding para distribuir malware y robar criptomoneda por aprovechando las cadenas de bloques públicassegún Palo Alto Networks.
Los investigadores también detectaron el uso de una puerta trasera de Linux conocida como BPFDoor que se ha asociado con un actor vinculado a China conocido como Red Menshen.
Investigadores de GreyNoise el lunes informó 362 direcciones IP únicas dirigidas a la vulnerabilidad. Los piratas informáticos demostraron una variedad de métodos de ataque, incluida la ejecución remota de scripts, scripts de descarga/shell inversos, persistencia SSH y reconocimiento de directorios.
Fuente