Critical React2Shell flaw exploited in ransomware attacks

2 minute de lecture

Mis à jour : December 17, 2025

Exploitation de la faille React2Shell pour des attaques par ransomware

Une vulnérabilité critique nommée React2Shell (CVE-2025-55182), présente dans le protocole ‘Flight’ des React Server Components (RSC) utilisé par React et Next.js, a été exploitée par des attaquants. Cette faille permet l’exécution de code JavaScript sur le serveur à distance, sans authentification.

Elle a été rapidement utilisée par divers acteurs malveillants, incluant des hackers liés à des états, pour des opérations de cyberespionnage et le déploiement de logiciels malveillants comme EtherRAT. Des cybercriminels l’ont également mise à profit dans des attaques de minage de cryptomonnaies.

Plus récemment, des chercheurs ont observé une campagne utilisant React2Shell pour déployer le ransomware Weaxor. Ce dernier, apparu fin 2024, est considéré comme une rebrand de l’opération Mallox/FARGO. Weaxor cible les serveurs publics avec des attaques opportunistes, exigeant des rançons relativement faibles et ne pratiquant pas la double extorsion via un portail de fuite de données.

Dans le cas d’une attaque documentée, l’acteur de menace a obtenu un accès initial via React2Shell, puis a déployé rapidement un beacon Cobalt Strike pour la communication avec son serveur de commande et contrôle. Dans la foulée, il a désactivé la protection en temps réel de Windows Defender et lancé le ransomware. L’ensemble de ces actions s’est déroulé en moins d’une minute. L’attaque observée était limitée à l’endpoint initial, sans mouvement latéral détecté.

Après le chiffrement des fichiers, ceux-ci se retrouvaient avec l’extension ‘.WEAX’, et un fichier de note de rançon nommé ‘RECOVERY INFORMATION.txt’ était créé dans chaque répertoire impacté. Weaxor a également effacé les copies de volume pour compliquer la restauration et nettoyé les journaux d’événements pour entraver l’analyse forensique. Il est à noter que le même hôte a par la suite été compromis par d’autres attaquants utilisant différentes charges utiles, soulignant l’intensité de l’activité malveillante autour de cette vulnérabilité.

Points clés :

La faille React2Shell permet l’exécution de code JavaScript côté serveur via une désérialisation non sécurisée.
Elle a été exploitée par divers groupes, dont des acteurs étatiques et des cybercriminels.
Le ransomware Weaxor utilise React2Shell comme vecteur d’accès initial.
Les attaques sont rapides, ciblant les serveurs publics avec des rançons basses.
Weaxor désactive les protections, efface les journaux et supprime les copies de volume.

Vulnérabilités :

CVE-2025-55182 (React2Shell) : Vulnérabilité de désérialisation non sécurisée dans le protocole ‘Flight’ des React Server Components (RSC).

Recommandations :

Les administrateurs système doivent patcher la vulnérabilité React2Shell.
Il est conseillé de surveiller attentivement les journaux d’événements Windows et la télémétrie EDR pour détecter des signes d’exploitation.
Une création de processus inhabituels (par exemple, cmd.exe ou powershell.exe lancés depuis node.exe) est un indicateur fort.
Toute connexion sortante suspecte, désactivation de solutions de sécurité, effacement de journaux ou pics d’utilisation des ressources doit faire l’objet d’une investigation approfondie.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Critical React2Shell flaw exploited in ransomware attacks

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast