Source: cyble.com — Dans un billet du 8 décembre 2025, Cyble décrit l’exploitation ultra-rapide de la vulnérabilité critique React2Shell (CVE-2025-55182) dans React Server Components, avec des groupes liés à la Chine actifs quelques heures après la divulgation publique.
• Vulnérabilité et portée: CVE-2025-55182 (React2Shell) permet une RCE non authentifiée (CVSS 10.0) via un défaut de désérialisation non sûre dans le protocole React Server Components Flight. Elle touche React 19.x et Next.js 15.x/16.x (App Router), et a été ajoutée au catalogue KEV de la CISA. Cyble précise que les paquets affectés incluent: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack sur React 19.0.0–19.2.0, corrigés en 19.0.1, 19.1.2 et 19.2.1. Next.js est aussi concerné via CVE-2025-66478 (versions: à partir de 14.3.0-canary.77, toutes 15.x non corrigées, et 16.x < 16.0.7).
• PoC et chaîne d’attaque: Le chercheur Lachlan Davidson a publié trois PoC (00-very-first-rce-poc, 01-submitted-poc.js, 02-meow-rce-poc) et résumé la chaîne: « $@x donne accès à un Chunk », « on greffe then sur notre objet », « l’exécution déroule les promesses imbriquées », « ré-entrée dans le parseur avec un faux Chunk contrôlé », « greffer sur _response expose des gadgets », « RCE ». Il indique que des PoC publics répliqués utilisaient également le gadget _formData.
• Activité des menaces: ⚠️ AWS (MadPot) a observé l’exploitation dès les heures suivant la divulgation (3 décembre). Les acteurs incluent Earth Lamia et Jackpot Panda. Les assauts ont privilégié le volume et la vitesse, lançant des PoC publics souvent incomplets (supposant à tort l’exposition de fs, vm, child_process). Malgré cela, cette stratégie a permis d’identifier des configurations vulnérables en périphérie. Télémétrie notable: randomisation des user-agents, exploitation parallèle de CVE-2025-1338, tentatives manuelles (whoami, id, lecture de /etc/passwd), écritures de fichiers (/tmp/pwned.txt). Un cluster depuis 183[.]6.80.214 a émis 116 requêtes en 52 minutes, signe d’un opérateur actif.
• Réponse et impacts: 🚨 Cloudflare a mis hors ligne une partie de son réseau pour déployer des défenses d’urgence, impactant 28% du trafic HTTP servi. Le CTO Dane Knecht précise que la perturbation n’était pas causée par une attaque, mais par des modifications de la logique de parsing des corps visant à détecter/atténuer la vulnérabilité RSC à l’échelle du secteur.
• Alertes officielles: L’ACSC (Australie) a publié un avis public exhortant les organisations à vérifier/mettre à niveau leurs déploiements et a listé des mesures immédiates: mise à jour des versions React/Next.js concernées, activation de règles intérimaires AWS WAF, revue des journaux (payloads RSC malformés, en-têtes next-action ou rsc-actionid, échecs séquentiels répétés), et inspection des systèmes backend pour signes de post-exploitation. L’article conclut sur un rythme de weaponization désormais mesuré en minutes et promeut les capacités de Cyble (Cyble Vision, Blaze AI) pour détection/corrélation/automatisation.
IOC (Indicateurs de compromission):
- 206[.]237.3.150
- 45[.]77.33.136
- 143[.]198.92.82
- 183[.]6.80.214
TTPs (MITRE ATT&CK et observations):
- Initial Access: T1190 — Exploit Public-Facing Application
- Privilege Escalation: T1068 — Exploitation for Privilege Escalation
- Scans automatisés avec randomisation d’User-Agent
- Adoption immédiate de PoC publics (même inexacts)
- Exploitation parallèle de CVE-2025-1338
- Commandes manuelles: whoami, id, lecture /etc/passwd; écritures: /tmp/pwned.txt
Type d’article: analyse de menace détaillant une vulnérabilité critique, son exploitation active et les réponses observées.
🧠 TTPs et IOCs détectés
TTPs
[‘T1190 — Exploit Public-Facing Application’, ‘T1068 — Exploitation for Privilege Escalation’, ‘Scans automatisés avec randomisation d’User-Agent’, ‘Adoption immédiate de PoC publics (même inexacts)’, ‘Exploitation parallèle de CVE-2025-1338’, ‘Commandes manuelles: whoami, id, lecture /etc/passwd; écritures: /tmp/pwned.txt’]
IOCs
[‘206[.]237.3.150’, ‘45[.]77.33.136’, ‘143[.]198.92.82’, ‘183[.]6.80.214’]
🔗 Source originale : https://cyble.com/blog/react2shell-cve-2025-55182-rapid-exploitation/