Hack Alerta

React2Shell: 8,1 milhões de sessões de exploração em curso

Por Redação Hack Alerta Publicado em 08/01/2026 14:02 Riscos e Ameaças Tempo de leitura: 3 min

GreyNoise contabiliza mais de 8,1 milhões de sessões explorando o React2Shell (CVE-2025-55182). A exploração usa infraestrutura em cloud, AMSI bypass e centenas de milhares de sessões diárias; defesa requer patch imediato, monitoramento de PowerShell e bloqueio dinâmico.

Desde a divulgação do React2Shell (CVE-2025-55182), pesquisadores observam uma campanha de exploração em larga escala — mais de 8,1 milhões de sessões de ataque foram registradas, segundo dados do GreyNoise Observation Grid citados na matéria.

Introdução

O volume e a diversidade da infraestrutura de ataque tornam esta vulnerabilidade um problema operacional persistente: ataques diários estabilizaram entre 300.000 e 400.000 sessões, após pico superior a 430.000 em dezembro.

Escopo e infraestrutura

GreyNoise reporta 8.163 IPs de origem únicos, distribuídos por 1.071 sistemas autônomos (ASNs) em 101 países. Grande parte da infraestrutura de exploração está em provedores de cloud pública; a Amazon Web Services responde por mais de um terço do tráfego observado, e os 15 principais ASNs concentram cerca de 60% das fontes.

Padrões de ataque e payloads

A campanha segue uma abordagem em duas etapas: sondagens iniciais validam execução de comandos (por exemplo, operações aritméticas em PowerShell) e, se bem‑sucedidas, prosseguem para entrega de payload codificado. Pesquisadores identificaram mais de 70.000 payloads únicos, 700 hashes JA4H (fingerprints HTTP) e 340 JA4T (fingerprints TCP), indicando grande variedade de ferramentas e técnicas de entrega.

Evasão e técnicas observadas

Os atacantes empregam bypasses do AMSI e técnicas de ofuscação para executar scripts adicionais enquanto tentam contornar defesas de endpoint. A constante rotação de IPs e alocação de infraestrutura recente (quase 50% das fontes observadas surgiram após julho de 2025) tornam listas estáticas de bloqueio inadequadas.

Implicações operacionais

Organizações que expõem React Server Components (RSC) ou serviços relacionados permanecem em risco até que correções sejam aplicadas. A matéria salienta que defensores devem implementar proteção em rede e monitoramento dinâmico, além de priorizar a aplicação de patches e mitigação em camadas.

Recomendações táticas

  • Aplicar os patches oficiais para CVE-2025-55182 imediatamente onde disponíveis.
  • Habilitar inspeção de comandos PowerShell e alertas para execuções com payloads codificados; monitorar padrões AMSI anômalos.
  • Utilizar feeds de inteligência atualizados (por exemplo, GreyNoise) para bloqueio dinâmico e priorizar detecções comportamentais em vez de blocklists estáticas.
  • Implementar regras na borda que detectem sondagens e padrões de reconhecimento antes da entrega de payloads.

O que a matéria não cobre

O artigo resume observações do GreyNoise mas não divulga listas completas de IoCs nem identificadores específicos de campanhas/atores. Também não há menção a impactos diretos reportados em organizações brasileiras no conteúdo consultado.

Conclusão

A escala e a continuidade da exploração tornam o React2Shell uma prioridade operacional. Defesas devem combinar correção, monitoramento de PowerShell e bloqueios dinâmicos baseados em inteligência para mitigar a velocidade e a diversidade da campanha.

Baseado em publicação original de Cyber Security News
Tags: #react2shell #cve-2025-55182 #greynoise #powershell #amsi-bypass #exploit #react-server #vulnerabilidade #rce
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar