文章总结： 网络安全周刊第28期重点报道了React2Shell漏洞的大规模利用，影响Next.js等现代Web框架，以及UEFI固件DMA保护缺陷影响多家主板厂商。同时涵盖全球加密货币盗窃激增、ATM攻击团伙被起诉、安卓电视僵尸网络、浏览器扩展窃取AI对话等威胁情报，并详细分析了多个高危漏洞如CiscoAsyncOS、HPEOneView和FortinetSSO等，提供了安全工具资源和专家观点。 综合评分： 88 文章分类： 漏洞分析,威胁情报,供应链安全,网络安全,漏洞预警

网络安全周刊#28：React2Shell 漏洞利用机制

知机安全

知机安全

2025年12月22日 09:00 美国

名为“React2Shell”的漏洞在野外被大规模利用，影响了包括Next.js在内的现代Web框架，导致全球数万台服务器面临数据被窃风险。同时，传统硬件供应链也遭遇重创，主流主板厂商的UEFI固件被发现存在DMA保护缺陷，使得攻击者能在操作系统加载前注入恶意代码。

一、重要资讯

1. 全球加密货币盗窃激增，损失超34亿美元：

   统计显示，2025年全球加密货币被盗金额大幅上升，其中某特定背景的威胁组织占据了逾20亿美元，特别是通过对交易所的定向攻击。

2. 美国司法部起诉54名ATM“黑客抽奖”参与者：

   执法部门打击了一个利用Ploutus恶意软件攻击ATM机并强行吐钞的国际犯罪团幅，涉案金额达数千万美元。

3. 180万台安卓智能电视沦为DDoS僵尸网络：

   研究人员发现名为“Kimwolf”的僵尸网络利用受损的安卓电视盒发起大规模DDoS攻击，其流量一度在某些监控平台上超越主流搜索引擎。

4. 主流浏览器扩展程序被爆大规模窃取AI对话：

   拥有数百万用户的“Urban VPN Proxy”及相关插件被发现秘密拦截并导出用户与ChatGPT、Gemini等AI工具的对话内容。

5. 微软365用户面临新型“设备码”钓鱼攻击：

   攻击者利用合法的设备代码身份验证流程绕过传统MFA，成功接管政府和能源部门的账户。

6. GitHub/NuGet 供应链攻击持续：

   发现恶意NuGet包冒充流行的.NET跟踪库，潜伏近六年并专门窃取加密货币钱包数据。

7. 法律行动：

   尼日利亚逮捕了PhaaS平台RaccoonO365的开发者；英国因2022年数据泄露事件对LastPass处以120万英镑罚款。

二、漏洞预警与分析

1. 核心高危漏洞

• Cisco AsyncOS 零日漏洞 (CVE-2025-20393)：

  CVSS 评分 10.0。该漏洞影响思科安全邮件网关，允许远程攻击者以root权限执行任意命令，已有APT组织在野利用。

• React2Shell (CVE-2025-55182)：

  现代Web框架React/Next.js的严重漏洞，导致大规模自动化攻击，用于部署后门和窃取环境变量。

• HPE OneView 远程代码执行 (CVE-2025-37164)：

  CVSS 评分 10.0。允许未经身份验证的远程用户在管理平台执行代码。

• Fortinet SSO 身份验证绕过 (CVE-2025-59718, CVE-2025-59719)：

  关键绕过漏洞，影响FortiGate等设备，已被用于导出设备配置。

2. 其他值得关注的漏洞

• UEFI DMA 保护失效：

  包括 ASRock (CVE-2025-14304)、ASUS (CVE-2025-11901)、GIGABYTE (CVE-2025-14302) 和 MSI (CVE-2025-14303) 在内的多款主板固件未能正确初始化IOMMU，导致启动阶段的DMA攻击。

• WatchGuard VPN 漏洞 (CVE-2025-14733)：

  IKEv2 实现中的越界写入漏洞，导致远程代码执行。

• ASUS Live Update 供应链漏洞 (CVE-2025-59374)：

  曾被用于“影锤行动”的旧漏洞再次受到关注，CISA 已将其列入必修清单。

• FreePBX 认证绕过：

  多处漏洞包括 CVE-2025-66039 (认证绕过) 和 CVE-2025-61678 (文件上传)，可导致远程代码执行。

三、技术剖析

1. UEFI 固件中的“沉睡保安”漏洞分析

研究人员在多家主流主板厂商的 UEFI 实现中发现了严重的逻辑错误。虽然 BIOS 设置显示“预启动 DMA 保护”已启用，但固件实际上未能在此关键阶段正确配置和启用 IOMMU。

攻击链条：

• 攻击者接入具有 DMA 能力的 PCIe 设备（物理访问）。
• 在操作系统内核加载之前，由于 IOMMU 未激活，设备可以自由读取或修改系统内存。
• 注入恶意代码或修改启动状态，从而彻底瓦解操作系统的安全根基（如 Secure Boot）。

1. React2Shell 漏洞利用机制

该漏洞被称为“React2Shell”，源于 Next.js 等框架对特定请求处理不当。攻击者正在使用自动扫描脚本寻找暴露的端点。

关键步骤：

• 通过发送特制的 HTTP 请求触发服务器端代码执行。
• 部署轻量级隧道工具（如 ReverseSSH、Chisel）建立持久化连接。
• 自动扫描并收集敏感的环境变量文件（如 .env），窃取云服务凭据（OpenAI API Key、AWS 密钥等）。

四、工具与资源

1. HoundDog.ai: 一款基于 Rust 编写的轻量级隐私代码扫描工具，专门用于在开发阶段识别敏感数据流（PII/PHI）并防止数据泄露至日志或 AI 接口。

2. ANY.RUN TI Lookup: 提供实时威胁情报查询，支持根据行业和地理位置识别活跃的恶意软件家族和攻击活动。

3. Strix: 开源工具，帮助开发者更轻松地构建安全的命令行界面（CLI），降低了复杂框架带来的潜在风险。

4. Heisenberg: 依赖项健康检查工具，通过扫描 SBOM 识别供应链中存在风险或不再维护的组件。

五、言论

1. “Prince of Persia（威胁组织）的活动规模超乎预料。该组织依然活跃、相关且极度危险。” —— Tomer Bar, SafeBreach 安全研究副总裁

2. “这就像是系统里的保安看起来在岗，实际上却在椅子上睡着了。等到系统完全加载时，你无法百分之百确信之前没被注入恶意代码。” —— Mohamed Al-Sharifi, Riot Games 安全研究员（谈 UEFI 漏洞）

3. “网络边缘设备的战术性适配使得攻击者能以更低的成本实现凭据窃取和横向移动，同时减少了被发现的风险。” —— CJ Moses, Amazon 首席信息安全官

4. “随着 AI 助手规模化应用，静态的 SaaS 安全模型已不再适用。安全团队需要实时感知 AI 代理在做什么、访问了什么数据。” —— Gal Nakash, Reco 联合创始人

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：知机安全 知机安全《网络安全周刊#28：React2Shell 漏洞利用机制》