Πολλοί παράγοντες απειλών που συνδέονται με την Κίνα άρχισαν να εκμεταλλεύονται την ευπάθεια React2Shell (CVE-2025-55182) επηρεάζοντας το React και το Next.js λίγες ώρες μετά την αποκάλυψη του ζητήματος μέγιστης σοβαρότητας.
Το React2Shell είναι ένα μη ασφαλές θέμα ευπάθειας αποσειριοποίησης στο πρωτόκολλο «Flight» του React Server Components (RSC). Η εκμετάλλευσή του δεν απαιτεί έλεγχο ταυτότητας και επιτρέπει την απομακρυσμένη εκτέλεση κώδικα JavaScript στο περιβάλλον του διακομιστή.
Για το πλαίσιο Next.js, υπάρχει το αναγνωριστικό CVE-2025-66478, αλλά ο αριθμός παρακολούθησης απορρίφθηκε στη λίστα CVE της Εθνικής βάσης δεδομένων ευπάθειας ως διπλότυπο του CVE-2025-55182.
Το ζήτημα της ασφάλειας είναι εύκολο να αξιοποιηθεί και έχουν ήδη δημοσιευθεί αρκετές εκμεταλλεύσεις απόδειξης της ιδέας (PoC), αυξάνοντας τον κίνδυνο σχετικής δραστηριότητας απειλής.
Η ευπάθεια καλύπτει πολλές εκδόσεις της ευρέως χρησιμοποιούμενης βιβλιοθήκης, εκθέτοντας ενδεχομένως χιλιάδες εξαρτημένα έργα. Οι ερευνητές του Wiz λένε ότι το 39% των περιβαλλόντων cloud που μπορούν να παρατηρήσουν είναι ευαίσθητα σε επιθέσεις React2Shell.
Το React και το Next.js έχουν κυκλοφορήσει ενημερώσεις ασφαλείας, αλλά το ζήτημα είναι ασήμαντο εκμεταλλεύσιμο χωρίς έλεγχο ταυτότητας και στην προεπιλεγμένη διαμόρφωση.
Οι επιθέσεις React2Shell βρίσκονται σε εξέλιξη
Μια αναφορά από το Amazon Web Services (AWS) προειδοποιεί ότι οι φορείς απειλών Earth Lamia και Jackpot Panda που συνδέονται με την Κίνα άρχισαν να εκμεταλλεύονται το React2Shell σχεδόν αμέσως μετά τη δημόσια αποκάλυψη.
“Μέσα σε λίγες ώρες από τη δημόσια αποκάλυψη του CVE-2025-55182 (React2Shell) στις 3 Δεκεμβρίου 2025, οι ομάδες πληροφοριών απειλών της Amazon παρατήρησαν προσπάθειες ενεργητικής εκμετάλλευσης από πολλές ομάδες απειλών για το κράτος-σύνδεση της Κίνας, συμπεριλαμβανομένων των Earth Lamia και Jackpot Panda.” διαβάζει την έκθεση AWS.
Τα honeypot της AWS εντόπισαν επίσης δραστηριότητα που δεν αποδίδεται σε κανένα γνωστό cluster, αλλά εξακολουθεί να προέρχεται από υποδομές με έδρα την Κίνα.
Πολλά από τα συμπλέγματα επίθεσης μοιράζονται την ίδια υποδομή ανωνυμοποίησης, γεγονός που περιπλέκει περαιτέρω την εξατομικευμένη παρακολούθηση και τη συγκεκριμένη απόδοση.
Όσον αφορά τις δύο αναγνωρισμένες ομάδες απειλών, η Earth Lamia εστιάζει στην εκμετάλλευση ευπαθειών εφαρμογών ιστού.
Οι τυπικοί στόχοι περιλαμβάνουν οντότητες στις χρηματοοικονομικές υπηρεσίες, την εφοδιαστική, το λιανικό εμπόριο, τις εταιρείες πληροφορικής, τα πανεπιστήμια και τους κυβερνητικούς τομείς σε ολόκληρη τη Λατινική Αμερική, τη Μέση Ανατολή και τη Νοτιοανατολική Ασία.
Οι στόχοι του Τζάκποτ Panda βρίσκονται συνήθως στην Ανατολική και Νοτιοανατολική Ασία και οι επιθέσεις του στοχεύουν στη συλλογή πληροφοριών σχετικά με τη διαφθορά και την εσωτερική ασφάλεια.
Τα PoC είναι πλέον διαθέσιμα
Ο Lachlan Davidson, ο ερευνητής που ανακάλυψε και ανέφερε το React2Shell, προειδοποίησε για ψεύτικες εκμεταλλεύσεις που κυκλοφορούν στο διαδίκτυο. Ωστόσο, τα exploits επιβεβαιώθηκαν ως έγκυρα από τον ερευνητή Rapid7 Στίβεν Φουέρ και της Elastic Security Joe Desimone εμφανίστηκαν στο GitHub.
Οι επιθέσεις που παρατήρησε το AWS αξιοποιούν έναν συνδυασμό δημόσιων εκμεταλλεύσεων, συμπεριλαμβανομένων των κατεστραμμένων, μαζί με επαναληπτικές χειροκίνητες δοκιμές και αντιμετώπιση προβλημάτων σε πραγματικό χρόνο σε στοχευμένα περιβάλλοντα.
Η παρατηρούμενη δραστηριότητα περιλαμβάνει επαναλαμβανόμενες προσπάθειες με διαφορετικά ωφέλιμα φορτία, εκτέλεση εντολών Linux (whoami, ταυτότητα), προσπαθεί να δημιουργήσει αρχεία (/tmp/pwned.txt), και προσπαθεί να διαβάσει/etc/passwd/.’
«Αυτή η συμπεριφορά καταδεικνύει ότι οι φορείς απειλών δεν εκτελούν απλώς αυτοματοποιημένες σαρώσεις, αλλά εντοπίζουν ενεργά και βελτιώνουν τις τεχνικές εκμετάλλευσής τους έναντι ζωντανών στόχων», σχολιάζουν οι ερευνητές της AWS.
Η πλατφόρμα διαχείρισης επιφανειών επίθεσης (ASM) Assetnote κυκλοφόρησε ένα Σαρωτής React2Shell στο GitHub που μπορεί να χρησιμοποιηθεί για να προσδιοριστεί εάν ένα περιβάλλον είναι ευάλωτο στο React2Shell.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
