自披露以來,
React2Shell 漏洞(
CVE-2025-55182)持續遭駭客大規模利用,攻擊者已發動超過 810 萬次攻擊。資安研究機構 GreyNoise Observation Grid 的監測數據顯示,每日攻擊量在去年 12 月底達到 43 萬次高峰後,目前穩定維持在 30 萬至 40 萬次,顯示這波攻擊持續且有組織性。
延伸閱讀:React2Shell 漏洞攻擊再升級 RondoDox 殭屍網路大規模掃描全球 9 萬台伺服器
攻擊規模與基礎設施分析
研究人員發現,這波攻擊背後的基礎設施規模龐大且分散。攻擊來源包含 8,163 個獨特 IP 位址,分布於 101 個國家的 1,071 個自治系統(ASN)。如此廣泛的地理分布顯示該漏洞吸引了各類威脅行為者,從殭屍網路(botnet)到進階持續性威脅(APT)組織皆參與其中。
值得注意的是,
Amazon Web Services(AWS)等大型雲端服務商成為攻擊者的主要跳板。
光是 AWS 就占了超過三分之一的攻擊流量,前 15 大 ASN 涵蓋約 60% 的來源 IP。這反映攻擊者
偏好利用合法雲端基礎設施來掩蓋惡意活動。
攻擊者展現高度技術創新能力,已創建超過 7 萬個獨特的攻擊酬載(payload),持續實驗與改良。網路指紋分析發現 700 個不同的 JA4H 雜湊值(HTTP 客戶端指紋)及 340 個獨特的 JA4T 雜湊值(TCP 堆疊指紋),顯示攻擊者採用多樣化的工具與傳遞機制。
攻擊手法與技術細節
攻擊者採用可預測的兩階段攻擊方式。第一階段透過簡單的 PowerShell 算術運算驗證命令執行能力,完成初步偵察。第二階段則傳送編碼過的酬載,並使用 AMSI 繞過技術,讓攻擊者能執行額外的惡意腳本,同時規避防毒軟體偵測。
閱讀更多:React2Shell 滿分漏洞遭瘋狂利用 Google 揭露至少八個中國駭客組織加入攻擊行列
研究數據顯示,近 50% 的攻擊來源 IP 於 2025 年 7 月後首次出現,顯示攻擊者近期才部署這些基礎設施,並快速輪替 IP 位址。因此,靜態 IP 黑名單無法有效應對此波攻擊的規模與速度。
防護建議
資安專家建議組織採取以下防護措施:
- 透過持續更新的威脅情報,實施動態封鎖機制
- 加強端點監控,重點偵測 PowerShell 執行模式、編碼命令及透過反射修改 AMSI 的行為
- 若組織的 React Server Components 暴露於外部環境,應將此視為持續進行中的威脅,立即進行修補並部署網路層級防護
本文轉載自 CyberSecurityNews。