Administratorii care se luptau să remedieze o vulnerabilitate critică în React Server Components se confruntă acum cu muncă suplimentară după ce cercetătorii în securitate au dezvăluit două defecte ulterioare pe 11 decembrie, una dintre ele necesitând un al doilea patch imediat din cauza unei remedieri inițiale incomplete. Între timp, aproximativ 137.000 de sisteme rămân vulnerabile la defectul original React2Shell, în timp ce cel puțin 15 grupuri de amenințări distincte continuă campaniile active de exploatare.
Echipa React a anunțat CVE-2025-55184, o vulnerabilitate de tip denial-of-service de severitate ridicată, și CVE-2025-55183, un defect de expunere a codului sursă de severitate medie, ambele descoperite în timp ce cercetătorii examinau atent patch-ul pentru vulnerabilitatea critică CVE-2025-55182 dezvăluită pe 3 decembrie. Câteva ore mai târziu, React a dezvăluit CVE-2025-67779 după ce a determinat că remediul inițial pentru CVE-2025-55184 a fost incomplet.
„Patch-urile publicate anterior sunt vulnerabile”, a avertizat echipa React. „Dacă ați actualizat deja pentru Vulnerabilitatea Critică de Securitate săptămâna trecută, va trebui să actualizați din nou”.
Exploatarea pe scară largă continuă
Firma de securitate Wiz raportează că aproximativ 50 la sută dintre sistemele vulnerabile expuse public rămân neactualizate, chiar dacă exploatarea s-a accelerat în cel puțin 15 grupuri active de atacuri, variind de la mineri de criptomonede până la operațiuni sponsorizate de state. Fundația Shadowserver a detectat 137.000 de sisteme vulnerabile începând cu 11 decembrie, dintre care aproximativ 1.200 erau deja compromise și încă online.
Echipa Unit 42 a Palo Alto Networks a legat exploatarea de grupuri de amenințări nord-coreene și chineze. Activitatea include suprapuneri cu campania Contagious Interview a Coreei de Nord, care implementează backdoor-ul EtherRAT recent descoperit, ce utilizează contracte inteligente Ethereum pentru comandă și control. Cercetătorii de securitate au observat, de asemenea, implantul Linux BPFDoor atribuit chinezilor fiind implementat în atacuri.
“Unit 42 a identificat activitate care se pare că prezintă suprapuneri cu instrumentele Contagious Interview nord-coreene (DPRK),” a declarat firma, menționând în același timp instanțe suplimentare ale BPFDoor, “un implant Linux atribuit actorului de amenințări legat de China, Red Menshen”.
Detalii tehnice și metode de atac
CVE-2025-55182, denumită React2Shell, provine dintr-o deserializare nesigură în protocolul Flight al React și are un scor CVSS maxim de gravitate de 10,0. Vulnerabilitatea permite atacatorilor neautentificați să obțină execuție de cod de la distanță prin trimiterea de cereri HTTP special construite către endpoint‑urile Server Function.
CVE-2025-55184, dezvăluită recent, permite atacatorilor să creeze cereri malițioase care provoacă bucle infinite, blocând procesele serverului și împiedicând cererile HTTP ulterioare. CVE-2025-55183 le permite atacatorilor să extragă codul sursă compilat al Server Function, expunând potențial logica de business și secrete hardcodate.
Cercetătorii de la Wiz raportează că au observat atacuri care implementează operațiuni de criptomining uzuale folosind instrumente precum Kinsing și C3Pool, campanii bazate pe Python pentru exfiltrarea secretelor, infrastructură de comandă și control Sliver pentru operațiuni cu implicare directă, precum și variante ale backdoor‑ului EtherRat. Mai mulți atacatori folosesc tehnici de anti‑forensică, inclusiv manipularea marcajelor temporale și minimizarea jurnalelor, pentru a îngreuna răspunsul la incidente.
Agențiile federale din SUA se confruntă cu termenul limită de 26 decembrie pentru remediere, după ce CISA a adăugat CVE-2025-55182 în catalogul său de Vulnerabilități Cunoscute ca Exploatate pe 5 decembrie.
Surse:
https://cybernews.com/security/react-nextjs-urge-patching-two-new-severe-vulnerabilities/
https://www.theregister.com/2025/12/12/vulnerable_react_instances_unpatched/