PacketWatch 全天候网络事件响应团队帮助组织从React2Shell漏洞利用中恢复

(SeaPRwire) –   主动威胁搜寻能够发现他人可能遗漏的可疑网络活动

亚利桑那州凤凰城, 2025年12月12日 — 在各组织努力了解React2Shell漏洞影响之际，威胁搜寻专家发布了一篇博客文章“,”，详细介绍了他们在真实环境中应对React2Shell () 的经验，包括攻击流程、概念验证、入侵指标和观察到的行为。

面对像React2Shell这样的威胁，部署端点检测和响应（EDR）、Web应用程序防火墙（WAF）和应用程序补丁可以保护您的设备，但如果漏洞已被利用，这些更新不会向您发出警报。为此，需要一套独特的工具和经过验证的网络事件响应专业知识。

“源自外部的网络流量通常不会被传统安全工具看到或有效解析，”PacketWatch的首席安全官兼网络运营与事件响应副总裁表示。“这种可见性的缺乏使得使用React2Shell等漏洞利用的威胁行为者能够成功入侵组织的面向互联网的资源，而不会立即触发警报供安全运营团队进行分类处理。”

React2Shell漏洞使得在使用React或Next.js的系统上能够执行远程代码。这使得全球的威胁行为者可以利用这扇“敞开的大门”来投递各种恶意负载。由于这些平台的广泛采用，React2Shell对企业网络构成的威胁比其他已知漏洞更大。

监控自身网络的组织应确保其监控范围不是单一的。仅查看HTTP头、防火墙日志、Zeek签名或NetFlow数据是不够的。全流量数据包捕获提供了网络活动的完整记录（PCAP），就像DVR录制电视内容一样。这使得网络威胁搜寻人员能够调查并“回放”活动，以发现细微的可疑模式。

PacketWatch分析师在真实环境中被React2Shell利用的系统上观察到的一些可疑活动包括：

• 从Node.js产生的可疑进程
• 到恶意外部IP（C2）的可疑网络流量
• 从React服务器到其他内部资产的可疑网络连接
• 从React服务器发起的扫描活动
• 在React服务器上安装恶意软件和运行恶意代码

“我们能看见别人看不见的东西，”PacketWatch的高级网络安全分析师说。“借助全流量数据包捕获，我们能够利用原始网络数据快速逆向工程漏洞利用并构建检测规则来保护我们的客户。在新的漏洞利用发布后的几小时内，我们就能保护所有我们托管的客户，甚至早于传统警报的触发。这就是主动威胁搜寻的力量。”

对于无法看清可疑网络模式的组织， 提供 , , , 和 服务。他们还在其网站上发布免费的、每两周一次的 报告，以帮助组织更好地了解PacketWatch分析师在真实环境中观察到的威胁。

欲了解更多信息，请访问  或致电 1-800-864-4667。

关于 PacketWatch
PacketWatch网络威胁搜寻平台结合了全流量数据包捕获、AI/ML工具和威胁情报，帮助事件响应人员发现隐藏的网络威胁并获取取证证据。作为一项托管服务，数据包级网络分析与主动的人工威胁搜寻相结合，能够发现并遏制传统网络安全工具可能遗漏的风险和恶意活动。与CrowdStrike Falcon的集成提供实时主机遥测数据，以便在终端上触发警报之前识别并遏制持久性威胁。欲了解有关软件、专业服务和托管服务的更多信息，请访问 。

联系方式：
Sean McGovern
销售副总裁
PacketWatch
 
480.444.7064

消息来源 PacketWatch