Kineski hakeri počeli su da eksploatišu novootkrivenu React ranjivost poznatu kao React2Shell, označenu kao CVE-2025-55182.
Kritičnu ranjivost moguće je iskoristiti pomoću posebno kreiranih HTTP zahtjeva za neautentifikovanu udaljenu izvršenu komandi na pogođenim serverima. Ranjivost je Meta-i, koja održava React, prijavio istraživač Lachlan Davidson 29. novembra, a zakrpa je objavljena 3. decembra.
React2Shell može pogoditi veliki broj sistema, imajući u vidu da React, otvorena JavaScript biblioteka za izradu korisničkih interfejsa, pokreće milione veb sajtova, a njegov NPM paket bilježi milione sedmičnih preuzimanja. Kompanija Wiz je saopštila da 39% cloud okruženja sadrži ranjive React instance.
Davidson je pokrenuo poseban React2Shell veb-sajt, ali tehnički detalji ranjivosti nisu javno objavljeni. Ipak, hakeri i istraživači aktivno rade na reverznom inženjeringu zakrpa.
Nekoliko proof-of-concept (PoC) eksploata pojavilo se odmah nakon objave React2Shell ranjivosti, ali su se pokazali kao lažni. Međutim, čini se da postoji makar jedan javni PoC koji funkcioniše.
Očekivano, već su primijećeni i pokušaji eksploatacije. AWS je kasno u četvrtak saopštio da su njihovi timovi za prijetnje detektovali pokušaje eksploatacije CVE-2025-55182 od strane kineskih hakera samo nekoliko sati nakon objave ranjivosti.
AWS je naveo da je teško precizno pripisati napade pojedinačnim grupama jer hakeri dijele infrastrukturu, ali vjeruju da pokušaje izvode grupe poznate kao Earth Lamia i Jackpot Panda.
Earth Lamia je aktivna najmanje od 2023. godine i cilja širok spektar industrija u Latinskoj Americi, Bliskom istoku i Jugoistočnoj Aziji. Poznato je da ova grupa eksploatiše više ranjivosti u svojim kampanjama.
Jackpot Panda djeluje od 2020. i sprovodi sajber-špijunske operacije u Aziji.
“Akeri prijetnji koriste automatizovane alate za skeniranje, ali i pojedinačne PoC eksploate”, naveli su iz AWS-a.
Dan Andrew, šef bezbjednosti u Intruderu, rekao je za SecurityWeek da su i oni primijetili aktivnosti eksploatacije React2Shell ranjivosti, ali nisu podijelili detalje o tome ko stoji iza napada.
CVE-2025-55182 se već dodaje u skenere ranjivosti i alate za ofanzivnu bezbjednost, što bi moglo dovesti do još šireg talasa eksploatacionih pokušaja.
S druge strane, istraživač Kevin Beaumont upozorio je da ranjivost pogađa samo React verziju 19, i to instancije koje koriste relativno novu server-orijentisanu funkciju.
Kako Beaumont ističe, neki pokušaji eksploatacije oslanjaju se na lažne PoC-ove.
AWS je potvrdio da pojedini hakeri pokušavaju da iskoriste upravo te lažne PoC eksploate, koji ne funkcionišu u realnim uslovima, što ukazuje na njihovu želju da što brže iskoriste ranjivost.
Ipak, AWS je takođe vidio da hakeri sistematski testiraju i otklanjaju probleme kako bi prilagodili svoje napade i učinili ih efikasnim.
“Ovakvo ponašanje pokazuje da hakeri nisu samo pokrenuli automatizovana skeniranja, već aktivno debug-uju i usavršavaju svoje tehnike eksploatacije protiv živih meta”, objašnjava AWS.
Kompanija je objavila indikatore kompromitacije (IoC) kako bi organizacijama pomogla da otkriju potencijalne pokušaje eksploatacije.
Izvor: SecurityWeek