Exploração ativa do React2Shell (CVE-2025-55182) afeta servidores RSC

Campanhas ativas exploram CVE-2025-55182 (React2Shell) contra React Server Components, entregando mineradores (XMRig), botnets (Kaiji, RustoBot) e backdoors (CrossC2, EtherRAT). Pacotes afetados incluem react-server-dom-* nas versões 19.0/19.1/19.2; patches foram liberados (19.0.1, 19.1.2, 19.2.1).

Pesquisadores identificaram campanhas que exploram a falha conhecida como React2Shell (CVE-2025-55182) contra implementações de React Server Components, com distribuição de mineradores, botnets e backdoors em ambientes vulneráveis.

Vulnerabilidade e alcance

A falha reside no protocolo Flight, usado na comunicação cliente‑servidor de React Server Components, onde uma desserialização insegura permite execução remota de código. Pacotes afetados incluem react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack em versões 19.0, 19.1.0, 19.1.1 e 19.2.0. Foram disponibilizadas correções nas versões 19.0.1, 19.1.2 e 19.2.1.

Exploração em campo

Relatórios citados pelo Cyber Security News (com base em análises da BI.ZONE) descrevem exploração ativa que entrega componentes maliciosos: o XMRig para mineração de criptomoeda e botnets como Kaiji e RustoBot em campanhas contra alvos russos, enquanto outras operações distribuíram CrossC2, Tactical RMM, VShell e trojans EtherRAT.

Vetores e cadeia de ataque

Atacantes exploram a falha para executar comandos em containers comprometidos, que então baixam e executam scripts Bash (por exemplo, setup2.sh, alive.sh) que instalam binários específicos por arquitetura, estabelecem persistência (systemd, crontab, alteração de utilitários) e empregam técnicas como DNS tunneling para exfiltrar resultados de execução.

Recomendações técnicas

Aplicar imediatamente as versões corrigidas (19.0.1, 19.1.2, 19.2.1) e rebuild de projetos para garantir remoção de dependências vulneráveis de lock files;
Auditar containers e imagens recentes em busca de sinais de execução de scripts remotos, persistência via systemd/crontab e processos de mineração (XMRig);
Verificar logs de deploy/CI para uso de recursos experimentais de React Server Components e, quando possível, desabilitar funcionalidades experimentais em produção até validar patches;
Investigar indicadores de comprometimento divulgados pelos pesquisadores e implementar regras de detecção para payloads CrossC2 e artefatos do EtherRAT.

O que falta confirmar

Embora haja descrição de campanhas e amostras técnicas, não há um inventário público único de todos os IOCs agregados na matéria consultada aqui. Equipes de resposta devem consultar as publicações originais da BI.ZONE e arquivos de amostras para recuperar domínios, hashes e artefatos criptográficos específicos.

Implicações

A exploração mostra como vulnerabilidades em componentes de framework web podem ser rapidamente capitalizadas para fins financeiros (mineração) e para obter acesso persistente a infraestruturas. Desenvolvedores e equipes de infraestrutura precisam combinar patching rápido com verificação pós‑correção para mitigar post‑exploration.

Fonte: Cyber Security News (base: BI.ZONE)