CVE-2025-55182 漏洞披露两个月后,针对 React 服务端组件的攻击行为已从大范围扫描,演变为协同化、高流量的规模化攻击活动。
据格雷诺伊斯(GreyNoise)2026 年 1 月 26 日至 2 月 2 日的监测数据显示,威胁行为者正积极利用这一高危漏洞部署加密挖矿程序,并建立持久化远程访问权限。
尽管尝试发起漏洞利用的独立攻击源达 1083 个,但攻击流量高度集中。两个特定 IP 地址发起的恶意会话占所有监测数据的 56%,这一特征表明攻击来自自动化的大型攻击基础设施,而非人工测试行为。
威胁态势与主要攻击方
已监测到的攻击均使用针对 CVE-2025-55182 漏洞的公开 Metasploit 模块,攻击者可通过单个恶意 HTTP POST 请求,在未完成身份验证的情况下实现远程代码执行(RCE)。主要威胁行为者的攻击目标呈现明显分化:
- 加密挖矿攻击团伙(87.121.84 [.] 24):发起的攻击流量占比 22%,涉及 311484 次恶意会话。该团伙会执行检索脚本,从跳板服务器下载门罗币挖矿程序(XMRig)的二进制文件,其攻击依赖外部基础设施托管恶意载荷。
- 交互式访问攻击团伙(193.142.147 [.] 209):发起的攻击流量占比 34%,涉及 488342 次恶意会话。该团伙完全绕过跳板服务器,通过恶意载荷直接向扫描源 IP 的 12323 端口开启反向 Shell,其攻击意图并非自动化窃取资源,而是实现交互式的网络横向渗透。
对该加密挖矿攻击基础设施的深度分析发现,其存在长期恶意活动记录。核心跳板服务器 205.185.127 [.] 97 自 2020 年起,就一直托管着 mased [.] top、mercarios [.] buzz 等受攻击者控制的域名。
此外,该服务器同一子网内的相邻 IP(87.121.84 [.] 25、87.121.84 [.] 45)目前仍在传播 Mirai 和 Gafgyt 僵尸网络变种,可见该子网已成僵尸网络运营者的聚集地,其攻击目标同时涵盖企业服务器与民用物联网设备。
漏洞详细信息
CVE-2025-55182 是 React 服务端组件中存在的反序列化漏洞,其通用漏洞评分系统(CVSS)评分为10.0 分,属于最高级别的高危漏洞。未授权攻击者可通过操纵服务器处理的序列化数据,实现任意代码执行。
漏洞编号:CVE-2025-55182
通用漏洞评分:10.0(高危)
受影响软件:React 服务端组件
漏洞类型:不安全的反序列化
受影响版本:
- React 19.0.0
- React 19.1.0 至 19.1.1
- React 19.2.0
已修复版本:
- React 19.0.1、19.1.2、19.2.1
攻击者将攻击目标精准指向开发端口,推测其意在寻找配置不当的服务实例 —— 开发人员若使用
--host 0.0.0.0启动参数,会导致服务器意外暴露至公网。被攻击最多的端口包括 443、80、3000、3001 和 3002。安全团队被敦促立即将 React 组件升级至最新修复版本。若暂时无法完成补丁部署,需严格限制开发端口的网络访问权限,并阻断下述攻击特征指标。
入侵特征指标(IOCs)
网络指标(IPv4 地址)
IP 地址 193.142.147[.]209 类型是攻击源 IP 关联攻击行为 反向 Shell / 交互式远程访问
IP 地址 87.121.84[.]24 类型是攻击源 IP 关联攻击行为 门罗币挖矿程序投放
IP 地址 205.185.127[.]97 类型是跳板服务器 关联攻击行为 恶意载荷托管
IP 地址176.65.132[.]224 类型是跳板服务器 关联攻击行为 恶意载荷托管
网络攻击特征
- 反向 Shell 端口:TCP/12323
- 流量特征:包含异常 Next-Action 请求头的 HTTP POST 请求
文件哈希值(SHA-256)
[哈希值待进一步分析]—— 从 205.185.127 [.] 97 获取的门罗币挖矿程序(XMRig)二进制文件(ELF 格式)。
发表评论
您还未登录,请先登录。
登录