Il a été observé qu’il propageait des logiciels malveillants de cryptojacking et tentait de voler les informations d’identification cloud des machines compromises.
L’intégration de la vulnérabilité React2Shell dans le serveur open source React et Next.js dans les environnements informatiques est devenue encore plus urgente avec des rapports selon lesquels des exploits sont déjà répandus.
Les chercheurs de Greynoise ont déclaré aujourd’hui qu’ils constataient des « tentatives d’exploitation opportunistes et largement automatisées » essayant de tirer parti de la vulnérabilité de désérialisation dangereuse dans React Server Components (RSC).
L’accent a été mis très tôt sur l’attaque de cette vulnérabilité, ajoute le rapport, « mais nous avons déjà détecté une lente migration de ce CVE ajouté à Mirai et à d’autres kits d’exploitation de botnets ».
Les premières tentatives d’accès utilisent comme base un code de preuve de concept (PoC) divulgué publiquement, explique Greynoise, avec des charges utiles de l’étape 1 effectuant des sondes de preuve d’exécution (PoE) (par exemple, l’arithmétique PowerShell) pour valider le RCE à moindre coût, et en utilisant des étapes de téléchargement et d’exécution PowerShell codées. Ensuite, une charge utile de l’étape 2 qui utilise la réflexion pour définir (un contournement AMSI standard) et exécute l’étape suivante.
L’équipe de recherche en sécurité de JFrog a également rapporté aujourd’hui avoir trouvé une preuve de concept fonctionnelle qui conduit à l’exécution de code, et eux et d’autres ont également signalé avoir trouvé de faux PoC contenant du code malveillant sur GitHub. « Les équipes de sécurité doivent vérifier les sources avant de tester (ces PoC) », prévient JFrog.
Amitai Cohen, responsable des renseignements sur les vecteurs d’attaque chez Wiz, a également déclaré aujourd’hui que la société avait vu à la fois des preuves de concept publiées et des tentatives d’exploitation actives dans la nature. « Nos équipes chargées des menaces ont détecté ces tentatives dans les environnements clients, y compris le déploiement de logiciels malveillants de cryptojacking et les efforts visant à voler les informations d’identification du cloud sur les machines compromises », a-t-il déclaré dans un e-mail.
Le rapport Greynoise fait suite à celui du chercheur néo-zélandais Lachlan Davidson, qui a découvert les trous et a constaté qu’une véritable preuve de concept a commencé à circuler environ 30 heures après que les responsables de React ont révélé les trous.
Par ailleurs, Amazon a déclaré que ses équipes de renseignement sur les menaces avaient été témoins de tentatives d’exploitation actives de la part de plusieurs groupes menaçants liés à l’État chinois, notamment Earth Lamia et Jackpot Panda.
AWS a déployé plusieurs couches de protection automatisée, notamment AWS WAF (pare-feu d’application Web). Mais l’entreprise souligne que ces protections ne remplacent pas les correctifs, même pour les services informatiques exécutant React ou Next.js dans un environnement Amazon.
Contenu associé : Le pare-feu Cloudflare réagit mal à l’atténuation des exploits React
Si elle est exploitée, la vulnérabilité, identifiée comme CVE-2025-55182 dans React RCS et CVE-2025-66478 spécifiquement pour le framework Next.js, permet à un acteur malveillant d’exécuter à distance du code malveillant.
Maintenue par Meta, React est une bibliothèque open source permettant de créer des interfaces d’application. Il existe plusieurs frameworks qui s’appuient sur celui-ci, Next.js étant très populaire parmi les développeurs, donc l’exploitation de la vulnérabilité de RCS peut se propager à ces frameworks.
La vulnérabilité critique dans les composants du serveur React a un score CVSS (Common Vulnerability Scoring System) maximum de 10. Sont concernées les versions 19.x de React et les versions 15.x et 16.x de Next.js lors de l’utilisation d’App Router.
Le problème réside spécifiquement dans le protocole Flight de RCS, utilisé pour les communications avec des clients tels que les navigateurs. RCS, note Greynoise, est une cible de grande valeur car elle se situe devant la logique applicative qui s’exécute souvent avec des autorisations de production.
« Grâce à des services tels que BuiltWith/Wappalyzer, les services exposés sont faciles à trouver et à exploiter à grande échelle », a prévenu Greynoise.
Il existe cependant quelques nuances dans ces premiers rapports de preuves de concept.
Davidson a noté que les protections au jour 0 proposées par certains fournisseurs de sécurité des applications concernent en réalité le niveau d’exécution, et pas seulement les règles de pare-feu des applications Web. Cela signifie que de nombreux clients disposant de versions théoriquement vulnérables sont toujours protégés, écrit-il.
Amazon a ajouté que l’analyse des données de son pot de miel montre la nature persistante de certaines tentatives d’exploitation. Dans un exemple notable, un cluster de menaces non attribué associé à l’adresse IP 183(.)6.80.214 a passé près d’une heure jeudi à dépanner systématiquement les tentatives d’exploitation.
Cela comprenait 116 requêtes au total dirigées vers une cible sur une période de 52 minutes, des tentatives de placement de plusieurs charges utiles d’exploit, des tentatives d’exécution de commandes Linux, des tentatives d’écriture de fichiers et des tentatives de lecture de fichiers .
« Ce comportement démontre que les auteurs de menaces ne se contentent pas d’effectuer des analyses automatisées », a déclaré Amazon, « mais déboguent et affinent activement leurs techniques d’exploitation contre des cibles réelles.
Edgar Kussberg, chef de projet pour l’IA et les outils de développement chez Sonar, a déclaré que pour atténuer les attaques, les développeurs ou les équipes de sécurité informatique devraient :
- exécuter une analyse : déployer des tests pour détecter le code vulnérable et les erreurs de configuration avant qu’un attaquant ne le puisse ;
- obtenez un signal clair : concentrez-vous sur la recherche et la correction des vrais points positifs et des vulnérabilités les plus graves ;
- Vérifiez le code par rapport aux règles mises à jour : assurez-vous que tous les logiciels défensifs sont mis à jour avec les dernières règles conçues pour détecter et signaler le modèle React2Shell spécifique, et pas seulement les paramètres génériques.
