Google tire la sonnette d’alarme. Une faille critique baptisée « React2Shell » permet à des cybercriminels, dont des groupes liés à la Chine, de prendre le contrôle de serveurs informatiques. La faille permet aux pirates d’espionner, de préparer des sabotages et de miner illégalement de la cryptomonnaie…
Le Google Threat Intelligence Group (GTIG) a découvert que plusieurs gangs de cybercriminels exploitent une faille au sein des composants serveur React (React Server Components). Il s’agit de composants qui s’exécutent uniquement sur le serveur. Quand on parle de React, on parle de la bibliothèque JavaScript open source qui permet de créer l’interface d’un site ou d’une application en la découpant en petits blocs réutilisables, appelés composants.
Rendue publique il y a peu, la faille en question a été baptisée « React2Shell ». Elle permet à un attaquant de prendre le contrôle d’un serveur à distance sans s’authentifier, c’est-à-dire sans fournir de mots de passe ou d’identifiants. Comme l’explique Google, la vulnérabilité est critique. Elle met en danger un nombre important de systèmes, puisque les React Server Components (RSC) sont présents dans React et Next.js, des frameworks populaires utilisés pour développer des sites web.
Les chercheurs de Google indiquent avoir constaté « une exploitation généralisée de cette vulnérabilité par de nombreux groupes de cybercriminels, allant d’acteurs opportunistes à des groupes d’espionnage ». Tout le milieu criminel semble s’être donné le mot pour exploiter la faille avant que tous les systèmes soient mis à jour.
À lire aussi : Pour contourner la double authentification, les pirates ont une nouvelle stratégie redoutable
Des opérations d’espionnage chinoises
Parmi les principales campagnes exploitant « React2Shell », on trouve plusieurs attaques commanditées par la Chine. Plusieurs gangs chinois se sont servi de la faille dans le cadre d’opérations d’espionnage et de préparation de sabotage. Les offensives ont permis de glisser des portes dérobées ou d’autres malwares taillés pour passer inaperçus. Les opérations doivent aboutir à des vols de propriété intellectuelle, l’espionnage de gouvernements ou d’organisations sensibles, ou encore des intrusions dans les réseaux d’énergie, d’eau, de télécoms ou de transport.
Les experts du GTIG ont aussi identifié des cyberattaques orchestrées par des cybercriminels cherchant uniquement à gagner de l’argent. Dans la plupart des cas, les pirates installent des outils de minage de cryptomonnaies sur les serveurs compromis. À l’insu des propriétaires, les serveurs vont réaliser des calculs complexes et énergivores qui vont produire des cryptomonnaies. Les pirates perçoivent directement les monnaies numériques sur leurs portefeuilles blockchain. Parmi les outils utilisés, on trouve notamment le très répandu XMRig, qui permet de miner du Monero.
Notez qu’un correctif a été déployé pour colmater la brèche. Google invite les administrateurs à installer tout de suite les mises à jour requises sur les systèmes vulnérables. Les entreprises qui utilisent Next.js ou les composants serveur React doivent vérifier qu’elles se servent bien d’une version corrigée des composants. Les chercheurs estiment que des milliers de serveurs informatiques sont encore vulnérables.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Google