Mais de 77 mil endereços IP expostos na internet estão vulneráveis à falha crítica de execução remota de código React2Shell (
CVE-2025-55182
).
Pesquisadores confirmam que atacantes já comprometeram mais de 30 organizações em diversos setores.
O React2Shell é uma vulnerabilidade de execução remota de código que não exige autenticação e pode ser explorada por meio de uma única requisição HTTP.
Ela afeta todos os frameworks que implementam React Server Components, incluindo o Next.js, que utiliza a mesma lógica de desserialização insegura.
Em 3 de dezembro, o React revelou a vulnerabilidade, explicando que a desserialização insegura de dados controlados pelo cliente dentro dos React Server Components permite que invasores executem comandos arbitrários remotamente, sem necessidade de autenticação.
Para corrigir o problema, os desenvolvedores precisam atualizar o React para a versão mais recente, reconstruir as aplicações e redeployá-las.
No dia seguinte, 4 de dezembro, o pesquisador de segurança Maple3142 publicou um proof-of-concept funcional que demonstra a execução remota de comandos em servidores não corrigidos.
A partir disso, a varredura para detectar a vulnerabilidade se acelerou, com atacantes e pesquisadores utilizando ferramentas automatizadas baseadas nesse exploit público.
O grupo Shadowserver, que monitora a internet, agora reporta 77.664 endereços IP vulneráveis ao React2Shell, sendo cerca de 23.700 nos Estados Unidos.
A identificação desses IPs foi feita por meio de uma técnica de detecção desenvolvida pela Searchlight Cyber/Assetnote, que envia requisições HTTP aos servidores para explorar a falha e analisa respostas específicas para confirmar a vulnerabilidade.
A empresa GreyNoise registrou 181 endereços IP distintos tentando explorar a falha nas últimas 24 horas, com a maior parte do tráfego automatizado e originário principalmente da Holanda, China, Estados Unidos, Hong Kong e outros países.
A Palo Alto Networks reporta que mais de 30 organizações já foram comprometidas por meio do React2Shell.
Os invasores usam a vulnerabilidade para executar comandos, realizar reconhecimento e tentar roubar arquivos de configuração e credenciais da AWS.
Esses ataques incluem invasões atribuídas a grupos chineses ligados ao Estado.
Desde a divulgação, houve exploração generalizada da
CVE-2025-55182
por pesquisadores e atores maliciosos.
A GreyNoise destaca que os atacantes geralmente iniciam com comandos PowerShell que executam operações matemáticas simples para confirmar a vulnerabilidade, retornando resultados previsíveis e deixando poucos vestígios.
Após essa confirmação, comandos PowerShell codificados em base64 são executados para baixar scripts adicionais diretamente na memória.
Um desses comandos baixa um script PowerShell secundário de um servidor externo (23[.]235[.]188[.]3), que desativa o AMSI (Antimalware Scan Interface) para contornar a segurança do endpoint e implantar payloads adicionais.
Segundo o VirusTotal, esse script instala um beacon do Cobalt Strike no dispositivo alvo, garantindo um ponto de acesso para os invasores na rede.
Equipes de threat intelligence da Amazon AWS também identificaram exploração rápida da falha poucas horas após sua divulgação, envolvendo infraestruturas associadas a grupos APT chineses chamados Earth Lamia e Jackpot Panda.
Esses ataques incluem comandos típicos de reconhecimento, como whoami e id, tentativas de escrita de arquivos e leitura do /etc/passwd em servidores vulneráveis.
A Palo Alto Networks observou atividades similares e atribuiu parte delas ao UNC5174, grupo patrocinado pelo Estado chinês, possivelmente ligado ao Ministério de Segurança do Estado chinês.
“Unit 42 observou atividades que avaliamos com alta confiança como consistentes com o CL-STA-1015 (também conhecido como UNC5174), grupo suspeito de atuar como broker de acesso inicial com ligações ao Ministério de Segurança do Estado chinês”, declarou Justin Moore, gerente sênior da Unit 42 da Palo Alto Networks, em contato por e-mail.
“Nessas ações, identificamos o uso dos malwares Snowlight e Vshell, ambos bem conhecidos pelos nossos especialistas em relação a esse grupo.”
Os malwares observados são:
- **Snowlight:** dropper que permite aos atacantes implantar payloads adicionais em dispositivos comprometidos.
- **Vshell:** backdoor usado por grupos chineses para acesso remoto, atividades pós-exploração e movimentação lateral dentro da rede comprometida.
Diante da gravidade da vulnerabilidade, empresas ao redor do mundo aceleraram a instalação dos patches e a aplicação de medidas mitigatórias.
Ontem, a Cloudflare implementou detecções emergenciais e mitigação para o React2Shell em seu Web Application Firewall (WAF), após a ampla exploração e impacto da falha.
No entanto, a atualização causou um incidente que tirou vários sites do ar temporariamente, até que as regras fossem ajustadas.
A CISA adicionou a
CVE-2025-55182
ao catálogo Known Exploited Vulnerabilities (KEV), obrigando agências federais americanas a aplicarem o patch até 26 de dezembro de 2025, conforme a Binding Operational Directive 22-01.
Organizações que utilizam React Server Components ou frameworks baseados neles devem aplicar imediatamente as atualizações, reconstruir e redeployar suas aplicações, além de revisar logs para identificar execuções de comandos PowerShell ou shell, que podem indicar tentativas de exploração.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...