Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Il ciclo di divulgazione delle vulnerabilità è entrato in una nuova era, in cui il divario tra la pubblicazione e l'armamento si misura in minuti, non in giorni. È stato confermato che gli autori di minacce legate alla Cina hanno iniziato a sfruttare attivamente una falla critica nei componenti di React Server, React2Shell, solo poche ore dopo la sua pubblicazione.
La vulnerabilità, identificata come CVE-2025-55182, ha un impatto sui componenti del server React nelle distribuzioni React 19.x e Next.js 15.x/16.x che utilizzano App Router e ha un livello di gravità CVSS 10.0, consentendo l'esecuzione di codice remoto (RCE) non autenticato.
La CISA ha immediatamente aggiunto la falla al suo catalogo delle vulnerabilità note sfruttate, affermando: "La CISA ha aggiunto una nuova vulnerabilità al suo catalogo delle vulnerabilità note sfruttate (KEV), sulla base di prove di sfruttamento attivo".
I PoC del ricercatore e il meccanismo di sfruttamento
Lachlan Davidson, a cui è stata attribuita la scoperta di questa falla, ha pubblicato i PoC originali su GitHub, spiegando:
"Dato che i PoC pubblici stanno circolando e lo Scanner di Google utilizza una variante del mio PoC originale inviato, è finalmente giunto il momento responsabile di condividere i miei PoC originali per React2Shell."
Davidson ha rilasciato tre PoC, 00-very-first-rce-poc, 01-submitted-poc.js e 02-meow-rce-poc, e ha riassunto la catena di attacco:
Ha anche osservato che "il PoC ricreato pubblicamente… utilizzava altrimenti lo stesso gadget _formData del mio", sebbene la primitiva di concatenamento nella sua implementazione di allora non fosse universalmente adottata.
La rapida militarizzazione da parte dei gruppi China-Nexus
AWS ha rilevato l'inizio dello sfruttamento entro poche ore dalla divulgazione al pubblico del 3 dicembre, basandosi sulla telemetria della sua infrastruttura honeypot MadPot. Tra gli autori figurano:
AWS ha affermato: "La Cina continua a essere la fonte più prolifica di attività di minacce informatiche sponsorizzate dallo Stato, con gli autori delle minacce che mettono regolarmente in atto exploit pubblici entro poche ore o giorni dalla divulgazione".
Gli aggressori hanno dato priorità schiacciante alla velocità rispetto alla precisione, inviando PoC pubblici imperfetti e incompleti su ampie porzioni di Internet in un'ondata di scansioni ad alto volume. Molti PoC si basavano su ipotesi irrealistiche, come l'esposizione di moduli fs, vm o child_process che non compaiono mai nelle distribuzioni reali.
Tuttavia, questa strategia basata sul volume identifica ancora configurazioni vulnerabili nei casi limite.
Analisi tecnica: React2Shell nel protocollo di volo RSC
CRIL (Cyble Research and Intelligence Labs) ha scoperto che, in sostanza, CVE-2025-55182 (React2Shell) è una falla di deserializzazione non sicura nel protocollo Flight dei componenti del server React. Riguarda:
Nelle versioni di React 19.0.0–19.2.0, patchate in 19.0.1, 19.1.2 e 19.2.1.
Next.js è inoltre vulnerabile in base alla vulnerabilità CVE-2025-66478, che colpisce tutte le versioni a partire dalla 14.3.0-canary.77, tutte le build 15.x non patchate e tutte le release 16.x precedenti alla 16.0.7.
Un cluster concentrato proveniente da 183[.]6.80.214 ha eseguito 116 richieste in 52 minuti, dimostrando il coinvolgimento attivo dell'operatore.
Tempo di inattività di emergenza di Cloudflare durante la mitigazione di React2Shell
La gravità di React2Shell (CVE-2025-55182) è diventata evidente quando Cloudflare ha intenzionalmente disattivato parte della propria rete per applicare misure di difesa di emergenza. L'interruzione ha interessato il 28% del traffico HTTP servito da Cloudflare nelle prime ore di venerdì.
Il CTO di Cloudflare, Dane Knecht, ha chiarito che l'interruzione "non è stata causata, direttamente o indirettamente, da un attacco informatico… È stata invece innescata da modifiche apportate alla nostra logica di analisi del corpo durante il tentativo di rilevare e mitigare una vulnerabilità di settore divulgata questa settimana in React Server Components".
L'incidente si è verificato mentre i ricercatori osservavano gli aggressori sfruttare la vulnerabilità, mentre ondate di prove di concetto legittime e fraudolente circolavano online.
Allarme globale
L'Australian Cyber Security Centre (ACSC) ha emesso un avviso pubblico, affermando: "Questo avviso è rilevante per tutte le aziende e le organizzazioni australiane… L'ACSC dell'ASD è a conoscenza di una vulnerabilità critica nei componenti di React Server… Le organizzazioni dovrebbero esaminare le proprie reti per individuare istanze vulnerabili di questi pacchetti ed eseguire l'aggiornamento alle versioni corrette".
Le organizzazioni devono dare per scontato che la scansione di React2Shell sia continua e diffusa. L'ACSC ha delineato alcune misure immediate per mitigare il problema.
Conclusione
Lo sfruttamento di React2Shell (CVE-2025-55182) dimostra la rapidità con cui vulnerabilità di elevata gravità in componenti critici e ampiamente utilizzati possono essere sfruttate come armi. Gruppi con legami con la Cina e attori opportunisti hanno iniziato a prendere di mira la falla entro pochi minuti dalla sua divulgazione, utilizzando infrastrutture condivise e PoC pubblici, accurati o meno, per lanciare attacchi ad alto volume. Le organizzazioni che utilizzano React o Next.js App Router devono applicare immediatamente le patch e monitorare l'attività iterativa guidata dagli operatori.
In questo contesto, le organizzazioni necessitano di intelligence e automazione che operino in tempo reale. Cyble, classificata al primo posto a livello mondiale nella categoria Cyber Threat Intelligence Technologies da Gartner Peer Insights, offre funzionalità di sicurezza native basate sull'intelligenza artificiale attraverso piattaforme come Cyble Vision e Blaze AI. Questi sistemi identificano le minacce in anticipo, correlano gli IOC tra gli ambienti e automatizzano le azioni di risposta.
Pianifica una demo personalizzata per valutare come l'intelligence sulle minacce basata sull'intelligenza artificiale può rafforzare la tua strategia di sicurezza contro vulnerabilità come React2Shell.
Indicatori di compromesso
Tecniche MITRE ATT&CK
Riferimenti:
Ottieni il rapporto di valutazione delle minacce
Guida del CISO all'intelligence sulle minacce 2024: best practice
Anticipa le minacce informatiche con approfondimenti e strategie di esperti. Scarica subito l'e-book gratuito.
Post correlati
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube