Source et contexte — BleepingComputer (Lawrence Abrams, 6 déc. 2025) signale une exploitation à grande échelle de React2Shell (CVE-2025-55182), une faille de désérialisation non sécurisée dans React Server Components (touchant aussi Next.js), permettant une exécution de code à distance (RCE) non authentifiée via une seule requête HTTP. Les projets doivent mettre à jour React, recompiler et redéployer leurs applications.

🚨 Portée et exploitation — La fondation Shadowserver a recensé 77 664 adresses IP vulnérables (dont ~23 700 aux États‑Unis). GreyNoise a observé 181 IP distinctes tentant d’exploiter la faille en 24 h, avec un trafic majoritairement automatisé venant notamment des Pays‑Bas, de Chine, des États‑Unis et de Hong Kong. Palo Alto Networks indique que 30+ organisations ont déjà été compromises, avec exécution de commandes, reconnaissance et tentatives de vol de fichiers de configuration/identifiants AWS. Des intrusions sont liées à des acteurs étatiques chinois.

🔍 Tactiques observées — Les attaquants valident d’abord la vulnérabilité via de simples commandes PowerShell (opérations mathématiques) puis enchaînent avec des commandes PowerShell encodées en Base64 pour télécharger des scripts en mémoire. Un second étage hébergé sur 23[.]235[.]188[.]3 désactive AMSI afin de déployer d’autres charges utiles, dont un beacon Cobalt Strike. Les équipes TI d’AWS ont vu des compromissions rapides impliquant des groupes liés à la Chine (Earth Lamia, Jackpot Panda) menant des actions de reconnaissance (par ex. whoami, id, lecture de /etc/passwd, tests d’écriture de fichiers).

🎯 Attribution et outillage — Palo Alto Unit 42 attribue une partie de l’activité à UNC5174 (aussi référencé CL-STA-1015), supposé courtier d’accès initial lié au MSS chinois, observé déployant les malwares Snowlight (dropper) et Vshell (porte dérobée pour accès distant, post‑exploitation et mouvements latéraux).

📣 Réponse de l’écosystème — Cloudflare a publié en urgence des règles WAF de mitigation (ayant brièvement causé une panne avant correction). La CISA a ajouté CVE-2025-55182 au catalogue KEV, imposant aux agences fédérales de patcher d’ici le 26 déc. 2025 (BOD 22-01). Les organisations utilisant React Server Components ou des frameworks associés sont invitées à mettre à jour, reconstruire, redéployer et examiner les journaux pour des exécutions de PowerShell/shell.

IOC(s)

  • IP d’infrastructure de second étage: 23[.]235[.]188[.]3
  • Outils/charges: Cobalt Strike beacon, Snowlight, Vshell
  • Exemples de commandes observées: powershell -c "40138*41979", powershell -c "40320*43488", powershell -enc <base64>

TTP(s)

  • RCE non authentifiée via désérialisation non sécurisée dans React Server Components/Next.js
  • Validation initiale par commandes PowerShell simples, puis téléchargement en mémoire et bypass AMSI
  • Reconnaissance: whoami, id, lecture de /etc/passwd, tentatives d’écriture
  • Tentatives de vol de fichiers AWS (config/credentials)
  • Scanning automatisé multi-origines; déploiement de beacons/backdoors pour persistance/post‑exploitation

Type d’article et objectif — Article de presse spécialisé visant à informer sur une vulnérabilité critique, sa campagne d’exploitation active, les acteurs et indicateurs associés, ainsi que les mesures et réactions de l’écosystème.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/react2shell-flaw-exploited-to-breach-30-orgs-77k-ip-addresses-vulnerable/