La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha pedido a las agencias federales que parcheen las vulnerabilidades recientes en React2Shell antes del 12 de diciembre de 2025, en medio de informes de explotación generalizada.
Esta vulnerabilidad crítica se rastrea como CVE-2025-55182 (puntuación CVSS: 10.0) y afecta el protocolo de vuelo de componentes de servidor React (RSC). La causa principal de este problema es la deserialización insegura que permite a un atacante inyectar lógica maliciosa que hace que el servidor se ejecute en un contexto privilegiado. Otros frameworks como Next.js, Waku, Vite, React Router y RedwoodSDK también se ven afectados.
«Una única solicitud HTTP especialmente diseñada es suficiente; no se requieren requisitos de autenticación, interacción del usuario ni privilegios elevados», afirma Cloudforce One, el equipo de inteligencia de amenazas de Cloudflare. «Un exploit exitoso podría permitir al atacante ejecutar JavaScript privilegiado arbitrario en el servidor afectado».
Desde que se reveló esta vulnerabilidad el 3 de diciembre de 2025, esta falla ha sido explotada por múltiples atacantes en varias campañas, participando en operaciones de reconocimiento y distribuyendo varias familias de malware.
Tras este desarrollo, el viernes pasado CISA agregó la vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas y dio a las agencias federales hasta el 26 de diciembre para aplicar una solución. Posteriormente, la fecha límite se cambió al 12 de diciembre de 2025 para reflejar la gravedad del incidente.
La empresa de seguridad en la nube Wiz dijo que ha observado una «rápida ola de explotación oportunista» de la falla, con la mayoría de los ataques dirigidos a aplicaciones Next.js orientadas a Internet y otras cargas de trabajo en contenedores que se ejecutan en Kubernetes y servicios administrados en la nube.
Fuente de la imagen: Cloudflare
Cloudflare, que también rastrea la actividad de explotación en curso, dijo que los atacantes realizaron búsquedas utilizando escaneos en Internet y plataformas de descubrimiento de activos y descubrieron sistemas expuestos que ejecutaban aplicaciones React y Next.js. En particular, algunas operaciones de reconocimiento excluyen de las búsquedas el espacio de direcciones IP chinas.
«Sus investigaciones de mayor densidad se llevaron a cabo contra redes en Taiwán, Xinjiang, Vietnam, Japón y Nueva Zelanda. Estas regiones se asocian frecuentemente con prioridades de recopilación de inteligencia geopolítica», dijo la empresa de infraestructura web.
Se dice que la actividad observada también apunta a sitios web gubernamentales (.gov), instituciones de investigación académica y operadores de infraestructura crítica, aunque en medida más limitada. Esto incluía a las autoridades nacionales responsables de la importación y exportación de uranio, metales raros y combustible nuclear.
Algunos de los otros descubrimientos notables se enumeran a continuación.
Priorizar el enfoque en tecnologías confidenciales, como administradores de contraseñas empresariales y servicios de bóveda segura con el fin de realizar ataques a la cadena de suministro. Apuntar a dispositivos VPN SSL orientados al borde que puedan tener componentes basados en React integrados en sus interfaces de administración. Intentos iniciales de escaneo y explotación que se originan en direcciones IP previamente asociadas con grupos de amenazas relacionados con Asia.
En un análisis de sus propios datos de honeypot, Kaspersky Lab dijo que registró más de 35.000 intentos de explotación en un solo día el 10 de diciembre de 2025, en los que los atacantes primero probaron el sistema ejecutando comandos como whoami, y luego descartaron criptomineros y familias de botnets de malware como las variantes Mirai/Gafgyt y RondoDox.
El investigador de seguridad Rakesh Krishnan también descubrió un Open Directory alojado en ‘154.61.77(.)105:8082’. Este directorio contiene un script de explotación de prueba de concepto (PoC) para CVE-2025–55182 y otros dos archivos.
«dominios.txt» contiene una lista de 35.423 dominios. «next_target.txt» contiene una lista de 596 URL, incluidas empresas como Dia Browser, Starbucks, Porsche y Lululemon.
Se estima que un atacante desconocido está escaneando activamente Internet basándose en los objetivos agregados en el segundo archivo, infectando cientos de páginas en el proceso.
Según los últimos datos de The Shadowserver Foundation, al 11 de diciembre de 2025, hay más de 137.200 direcciones IP expuestas a Internet que ejecutan código vulnerable. De ellos, más de 88.900 casos se encuentran en Estados Unidos, seguido de Alemania (10.900), Francia (5.500) e India (3.600).
Source link
