La vulnerabilità React2Shell sfruttata per violare 30 organizzazioni, 77mila indirizzi IP a rischio
Oltre 77.000 indirizzi IP esposti su Internet sono vulnerabili alla critica falla di esecuzione di codice remoto React2Shell (CVE-2025-55182), con ricercatori che confermano che gli attaccanti hanno già compromesso oltre 30 organizzazioni in più settori.
React2Shell è una vulnerabilità di esecuzione di codice remoto non autenticata che può essere sfruttata tramite una singola richiesta HTTP e colpisce tutti i framework che implementano React Server Components, compreso Next.js, che utilizza la stessa logica di deserializzazione. I ricercatori hanno rilevato che la deserializzazione non sicura dei dati controllati dal client all’interno dei React Server Components consente agli attaccanti di attivare l’esecuzione remota, non autenticata, di comandi arbitrari.
I dati mostrano che oltre 77.000 indirizzi IP sono vulnerabili alla falla React2Shell, con circa 23.700 negli Stati Uniti. I ricercatori hanno determinato che gli indirizzi IP erano vulnerabili utilizzando una tecnica di rilevamento sviluppata da Searchlight Cyber/Assetnote. GreyNoise ha registrato 181 indirizzi IP distinti che tentavano di sfruttare la falla nelle ultime 24 ore, con la maggior parte del traffico che appare automatizzato.
Palo Alto Networks segnala che più di 30 organizzazioni sono già state compromesse attraverso la falla React2Shell, con attaccanti che sfruttano la vulnerabilità per eseguire comandi, condurre ricognizioni e tentare di rubare file di configurazione e credenziali AWS. Tra le organizzazioni colpite ci sono intrusioni legate a noti attori minacciosi associati allo stato cinese.
La vulnerabilità è stata sfruttata da vari attori, compresi quelli cinesi, per eseguire comandi PowerShell e scaricare script aggiuntivi direttamente nella memoria. I ricercatori hanno osservato che gli attaccanti hanno utilizzato la falla per installare un beacon Cobalt Strike sui dispositivi di destinazione, dando agli attori minacciosi un punto di partenza sulla rete.
È fondamentale che le organizzazioni utilizzino React Server Components o framework costruiti su di essi applichino immediatamente gli aggiornamenti, ricostruiscano e ridistribuiscano le loro applicazioni e verifichino i log per segni di esecuzione di comandi PowerShell o shell.
