React2Shell a reaprins semnele de alarmă în domeniul securității cibernetice: o vulnerabilitate critică (CVE-2025-55182) în React Server Components a expus mii de servere la execuție de cod de la distanță, iar atacuri au vizat deja organizații din diverse sectoare și țări. Amintind de incidente precum Log4Shell, situația evidențiază cât de rapid se răspândesc riscurile când există logică de deserializare nesigură în biblioteci larg utilizate, inclusiv în framework-uri precum Next.js.
Vulnerabilitatea permite execuție de cod fără autentificare printr-o singură cerere HTTP, deoarece date controlate de client sunt deserializate nesigur în React Server Components. React a anunțat public pe 3 decembrie, solicitând dezvoltatorilor să actualizeze React, să reconstruiască aplicațiile și să le redeploy-eze pentru remediere. Pe 4 decembrie cercetătorul Maple3142 a publicat un proof-of-concept funcțional, iar scanările automate și exploatările au crescut rapid imediat după. Grupul Shadowserver a identificat 77.664 de adrese IP expuse, dintre care aproximativ 23.700 sunt în Statele Unite. Detectarea a fost făcută folosind o tehnică dezvoltată de Searchlight Cyber/Assetnote, care trimite o cerere HTTP menită să provoace un răspuns specific ce confirmă vulnerabilitatea. Paralel, GreyNoise a înregistrat 181 de adrese IP distincte care au încercat exploit-ul în ultimele 24 de ore, majoritar activitate automatizată provenind din Olanda, China, Statele Unite, Hong Kong și alte câteva țări.
Compromiterile au apărut rapid: Palo Alto Networks raportează că peste 30 de organizații au fost deja afectate, atacatorii rulând comenzi, făcând recunoaștere și încercând să sustragă fișiere de configurare și credențiale AWS. Unele intruziuni sunt legate de actori asociați statului chinez, inclusiv grupuri denumite Earth Lamia și Jackpot Panda. Echipa Unit 42 a Palo Alto a observat activități compatibile cu CL-STA-1015, cunoscut și ca UNC5174, și a raportat livrarea unor malware-uri precum Snowlight și Vshell, folosite pentru a stabili un punct de intrare persistent și a facilita mișcarea laterală în rețelele compromise.
Metoda prin care atacatorii verifică rapid dacă un server este vulnerabil este simplă și eficientă: comenzi PowerShell care efectuează operații aritmetice cu rezultate previzibile și care lasă urme minime, de exemplu powershell -c 40138*41979 sau powershell -c 40320*43488. După confirmare se rulează comenzi PowerShell codate în base64, powershell -enc, care descarcă scripturi suplimentare direct în memorie. Un set observat a încărcat un script de pe 23.235.188.3 și a încercat să dezactiveze AMSI pentru a ocoli protecțiile endpoint; analiza VirusTotal arată că acel script instala un beacon Cobalt Strike, oferind atacatorilor acces persistent. Echipele AWS au observat exploatări imediate după dezvăluire, cu activități de recunoaștere precum whoami, id, încercări de scriere a fișierelor și citire a /etc/passwd.
Reacția industriei a fost rapidă: numeroase companii au implementat patch-uri și măsuri de atenuare de urgență. Cloudflare a introdus detecții și reguli în WAF pentru a bloca exploatările, dar o actualizare a cauzat din greșeală indisponibilitate pentru multe site-uri până la corectarea regulilor. Autoritățile au intervenit prompt: CISA a adăugat CVE-2025-55182 în catalogul Known Exploited Vulnerabilities, impunând agențiilor federale din SUA să aplice patch-urile până la 26 decembrie 2025, conform Binding Operational Directive 22-01. Recomandarea clară pentru organizațiile care folosesc React Server Components sau framework-uri construite pe ele este să aplice imediat actualizările, să reconstruiască și să redeploy-eze aplicațiile și să verifice jurnalele pentru semne de execuție PowerShell sau comenzi shell.
CVE-2025-55182 ilustrează din nou legătura strânsă dintre bibliotecile folosite de dezvoltatori și riscurile la scară largă. Atacurile care au folosit comenzi PowerShell, Cobalt Strike, Snowlight și Vshell, precum și implicarea grupurilor Earth Lamia, Jackpot Panda și UNC5174, arată cât de rapid o eroare de cod poate escalada într-o problemă de securitate națională, iar intervențiile Cloudflare și decizia CISA cu termenul limită 26 decembrie 2025 subliniază necesitatea mecanismelor automate de patching și monitorizare. Ce măsuri crezi că ar trebui prioritizate în echipa ta pentru a preveni expuneri similare?
Fii primul care comentează