Az internet negyede bedőlt egy elhibázott MI-frissítés miatt

Pénteken jelentős hálózati leállás sújtotta a Cloudflare ügyfeleit és a globális internetforgalmat. A vállalat azzal indokolta a közel háromórás kiesést, hogy kényszerűen le kellett kapcsolniuk a saját hálózatukat egy – eredetileg a React2Shell (CVE-2025-55182) nevű kritikus sebezhetőség elleni – szoftverfrissítés miatt. A leállás az összes HTTP-forgalom mintegy 28 százalékát érintette világszerte, ám a Cloudflare hangsúlyozta: sem közvetlen, sem közvetett támadás nem érte a rendszereiket. Az ok inkább az volt, hogy a sebtiben bevezetett javítás beleavatkozott egy kulcsfontosságú adatfeldolgozási logikába, miközben igyekeztek elhárítani az internet egészét fenyegető, a React Server Componentsben felfedezett sérülékenységet.

Óriási pánik a JavaScript-világban

Úgy tűnik, hogy a React2Shell sebezhetőséget rekordsebességgel próbálták meg kihasználni különféle támadók, miután a hibát szerdán nyilvánosságra hozta a React fejlesztőcsapata. A biztonsági hiba lényege, hogy hitelesítés nélkül, távolról hajthatnak végre kártékony kódot a feltört rendszereken. Nem ez volt az első eset, hogy a React-alapú rendszereket érték támadások; most azonban a Next.js és más React-alapú keretrendszerek különösen sebezhetővé váltak.

Pár órával a publikáció után már elindultak az első próbálkozások: aktívan keresték azokat a szervereket, ahol a sérülékenység kihasználható, többek között AWS-konfigurációs és hitelesítési adatok, illetve további kártékony programok letöltése érdekében. A brit kormány és az amerikai CISA is gyorsan reagált, mindkettő figyelmeztetéseket adott ki a kiemelt kockázat miatt. Az Amazon pénteken közölte, hogy több, kínai állami hátterű hackercsoport – például az Earth Lamia és a Jackpot Panda – célzott kihasználási próbálkozásait azonosította.

Veszélyes minták és hamis próbálkozások

A közzétett proof of conceptek (PoC) közül néhány működőképesnek bizonyult, mások viszont szándékosan hibásak vagy félrevezetőek voltak. Az Ox Security kutatói sikeresen reprodukálták az egyik nyilvános PoC-mintát, igazolva, hogy a sebezhetőség valós és rendkívül kockázatos. Ezért minden érintett szolgáltatónak azonnal javasolt frissíteni a rendszereit.

Ezzel egy időben, főként Ransomware-as-a-Service csoportok és belépési pontokra specializálódott hackerek próbálták villámgyorsan fegyverré formálni a hibát, hogy még a nagyobb védelmi intézkedések meghozatala előtt betörhessenek vállalati hálózatokba.

Széttartó biztonsági stratégia és lassú információcsere

Úgy tűnik, hogy a hibát végül épp a felelősségteljes információkezelés tette igazán veszélyessé: a kutatók szándékosan visszatartották a teljes részletességű technikai leírásokat, hogy ezzel időt nyerjenek a védelmi intézkedések kidolgozásához és bevezetéséhez. Ugyanakkor ez oda vezetett, hogy számos téves vagy helytelen PoC is elterjedt, amelyek félrevezethették a védekező rendszergazdákat, hamis biztonságérzetet eredményezve.

A támadóknak viszont már ennyi is elég volt ahhoz, hogy megkezdjék a célzott próbálkozásokat, különösen mert a nyílt forráskód révén bárki leellenőrizhette a szükséges javításokhoz kiadott kódrészleteket. Lényeges tanulság, hogy a jelenlegi biztonsági közösségnek gyorsabb, szorosabb információmegosztásra és együttműködésre van szüksége, hiszen az államok által támogatott hackercsoportok fejlett eszközparkkal, tapasztalattal és szinte korlátlan forrásokkal dolgoznak. A legnagyobb veszély, hogy a védelmet kereső szervezetek téves információk alapján hoznak döntéseket, miközben a támadók már rég kihasználják a rendszerek gyenge pontjait.

2025, adminboss, go.theregister.com alapján

Share on Social Media