La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó oficialmente el viernes una falla de seguridad crítica que afecta a los componentes del servidor React (RSC) a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de informes de que estaba siendo explotada en la naturaleza.
Esta vulnerabilidad, CVE-2025-55182 (puntuación CVSS: 10.0), está relacionada con la ejecución remota de código por parte de un atacante no autenticado sin necesidad de configuración especial. También rastreado como React2Shell.
«Existe una vulnerabilidad de ejecución remota de código en los componentes del servidor Meta React que podría permitir la ejecución remota de código no autenticado al explotar una falla en la forma en que React decodifica las cargas enviadas a los puntos finales de la función React Server», dijo CISA en el aviso.
Este problema se debe a una deserialización insegura en el protocolo Flight, una biblioteca que React utiliza para comunicarse entre servidores y clientes. Esto podría dar lugar a un escenario en el que un atacante remoto no autenticado podría ejecutar comandos arbitrarios en el servidor enviando una solicitud HTTP especialmente diseñada.
«El proceso de convertir texto en objetos se considera ampliamente como una de las vulnerabilidades de software más peligrosas», dijo Martin Zugec, Director de Soluciones Técnicas de Bitdefender. «La vulnerabilidad React2Shell existe en el paquete reaccionar-servidor, específicamente en la forma en que analiza las referencias de objetos durante la deserialización».
Esta vulnerabilidad se soluciona en las versiones 19.0.1, 19.1.2 y 19.2.1 de las siguientes bibliotecas:
reaccionar servidor-dom-webpack reaccionar servidor-dom-parcel reaccionar servidor-dom-turbopack
Algunos marcos posteriores que dependen de React también se ven afectados. Esto incluye Next.js, React Router, Waku, Parcel, Vite y RedwoodSDK.
El desarrollo se produce después de que Amazon informara que pocas horas después de la divulgación de la falla, había observado intentos de ataque desde la infraestructura asociada con grupos de piratas informáticos chinos como Earth Lamia y Jackpot Panda. Coalition, Fastly, GreyNoise, VulnCheck y Wiz también informaron haber visto exploits dirigidos a esta falla, lo que indica ataques oportunistas por parte de múltiples atacantes.
Fuente de la imagen: GreyNoise
Algunos de los ataques incluyen implementar un minero de criptomonedas y ejecutar un comando PowerShell de «matemáticas baratas» para confirmar un exploit exitoso, seguido de un comando que descarga un descargador en memoria que puede recuperar cargas útiles adicionales desde un servidor remoto.
Según los datos compartidos por la plataforma de gestión de superficies de ataque Censys, hay aproximadamente 2,15 millones de instancias de servicios conectados a Internet que podrían verse afectados por esta vulnerabilidad. Consiste en servicios web públicos que utilizan componentes de servidor React e instancias públicas de marcos como Next.js, Waku, React Router y RedwoodSDK.
En una declaración compartida con The Hacker News, la Unidad 42 de Palo Alto Networks dijo que confirmó que más de 30 organizaciones en una variedad de sectores se han visto afectadas y que la cadena de actividad es consistente con un grupo de piratería chino rastreado como UNC5174 (también conocido como CL-STA-1015). Este ataque presenta la introducción de SNOWLIGHT y VShell.
«Observamos escaneos en busca de RCE vulnerables, operaciones de reconocimiento, intentos de robo de archivos de credenciales y configuración de AWS, e instalación de descargadores que recuperan cargas útiles de la infraestructura de comando y control del atacante», dijo Justin Moore, gerente senior de investigación de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks.
El investigador de seguridad Lachlan Davidson, a quien se le atribuye haber descubierto e informado la falla, desde entonces ha lanzado múltiples exploits de prueba de concepto (PoC), lo que hace imperativo que los usuarios actualicen sus instancias a la última versión lo antes posible. Otro PoC en funcionamiento fue publicado por un investigador taiwanés que utiliza el identificador de GitHub maple3142.
Según la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las actualizaciones necesarias para proteger sus redes antes del 26 de diciembre de 2025.
Source link
