Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

React2Shell flaw exploited to breach 30 orgs, 77k IP addresses vulnerable

1 minute de lecture

Mis à jour :

Exploitation Active d’une Vulnérabilité Critique dans React

Une faille de sécurité baptisée “React2Shell”, identifiée sous la référence CVE-2025-55182, permet une exécution de code à distance sans authentification. Cette vulnérabilité, présente dans tous les frameworks utilisant les React Server Components, comme Next.js, est exploitée activement. Plus de 30 organisations ont déjà été compromises, affectant plus de 77 000 adresses IP exposées sur Internet. Les attaquants utilisent une requête HTTP unique pour déclencher l’exécution de commandes arbitraires, notamment via des scripts PowerShell pour désactiver les défenses de sécurité et déployer des charges utiles telles que Cobalt Strike. Des groupes de cybercriminels associés à la Chine ont été impliqués dans ces attaques, déployant des malwares comme Snowlight et Vshell.

Points Clés :

  • Nature de la vulnérabilité : Exécution de code à distance (RCE) non authentifiée via une désérialisation non sécurisée de données contrôlées par le client.
  • Systèmes affectés : Tous les frameworks implémentant les React Server Components, y compris Next.js.
  • Impact : Compromission d’organisations, exécution de commandes à distance, déploiement de malwares, vol de données de configuration.
  • Acteurs : Attaquants variés, y compris des groupes de menaces étatiques chinois (Earth Lamia, Jackpot Panda, UNC5174).
  • Techniques d’exploitation : Requêtes HTTP simples, scripts PowerShell (exécution de calculs basiques pour vérification, commandes encodées en base64 pour le téléchargement de scripts, désactivation d’AMSI), déploiement de Cobalt Strike, Snowlight, Vshell.

Vulnérabilités :

  • CVE-2025-55182 : React2Shell - Exécution de code à distance non authentifiée.

Recommandations :

  • Mise à jour : Les développeurs doivent mettre à jour React vers la dernière version disponible.
  • Reconstruction et redéploiement : Après la mise à jour, les applications doivent être reconstruites et redéployées.
  • Surveillance des logs : Examiner les journaux pour détecter des signes d’exécution de commandes PowerShell ou shell.
  • Application des correctifs : Les organisations utilisant des React Server Components ou des frameworks basés sur ceux-ci doivent appliquer les mises à jour sans délai.
  • Mitigations : Utilisation de Web Application Firewalls (WAF) avec des règles d’urgence et de détection (comme celles déployées par Cloudflare).
  • Conformité : Les agences fédérales doivent appliquer les correctifs avant le 26 décembre 2025, comme l’exige la directive opérationnelle contraignante 22-01 de la CISA.

Source

Vous pourriez aimer