Un allerta è stata emessa nel settore della sicurezza informatica a seguito della scoperta di una vulnerabilità critica nella libreria JavaScript React. Questo problema, identificato come CVE-2025-55182, ha già attirato l’attenzione di attori malevoli che ne stanno sfruttando le debolezze. La situazione è diventata così seria che Cloudflare ha dovuto implementare misure di mitigazione per proteggere le reti degli utenti.
Cos’è React e la vulnerabilità React2Shell
React, mantenuto da Meta, è una risorsa open source che consente agli sviluppatori di creare interfacce utente per applicazioni web e native. La vulnerabilità in questione è stata classificata come un difetto di esecuzione remota di codice (RCE) che interessa le versioni 19.0.0, 19.1.0, 19.1.1 e 19.2.0 di React Server Components.
Meccanismo della vulnerabilità
Questa falla consente a un attaccante di inviare richieste HTTP malevoli a un server function endpoint, permettendo l’esecuzione di codice arbitrario sul server bersaglio. Pertanto, le applicazioni che utilizzano React risultano a rischio, in particolare quelle che non hanno ancora applicato le necessarie patch di sicurezza.
Chi sono gli attori coinvolti?
Numerosi rapporti indicano che i principali responsabili di questa attività malevola provengono dalla Cina. Secondo C.J. Moses, CISO di Amazon Web Services (AWS), gruppi come Earth Lamia e Jackpot Panda stanno attivamente sfruttando questa vulnerabilità. Questi gruppi sono noti per le loro operazioni rapide e coordinate nel compromettere le infrastrutture web.
Strategie di attacco e obiettivi
Earth Lamia si specializza nell’attacco a organizzazioni situate in America Latina, Medio Oriente e Sud-est asiatico, ponendo particolare attenzione su istituzioni educative e aziende finanziarie.
Al contrario, Jackpot Panda dirige le proprie operazioni verso entità in Asia orientale e sud-orientale, allineando le proprie strategie agli obiettivi di sicurezza interna della Cina.
Implicazioni e raccomandazioni
Stime recenti indicano che oltre 950.000 server utilizzano framework vulnerabili come React e Next.js. Gli esperti di sicurezza di Radware avvertono che ciò rappresenta un ampio potenziale per attacchi cibernetici. La flessibilità e l’efficienza di React ne fanno una scelta popolare tra gli sviluppatori, ma questa diffusione implica che una singola vulnerabilità possa avere effetti devastanti su una vasta gamma di infrastrutture web.
Azioni da intraprendere
Data la gravità della situazione, è essenziale che le organizzazioni implementino misure di sicurezza tempestive. Ciò include l’aggiornamento delle versioni vulnerabili di React e l’adozione di pratiche di sicurezza più robuste.
Michael Bell, CEO di Suzu Labs, sottolinea che il tempo medio di reazione degli attori statali alle nuove vulnerabilità è drasticamente ridotto, rendendo la protezione della rete più difficile che mai.
La vulnerabilità React2Shell rappresenta una grave minaccia per la sicurezza informatica e richiede un’azione immediata da parte di tutti gli sviluppatori e delle aziende che utilizzano questa libreria. La consapevolezza e la preparazione sono fondamentali per mitigare i rischi associati a questa crisi emergente.
