Negli ultimi giorni, una vulnerabilità di esecuzione remota di codice (RCE) nel popolare framework JavaScript React ha attirato l’attenzione degli esperti di sicurezza. Questa falla, conosciuta come React2Shell, ha portato a un aumento delle attività malevole online, con attaccanti che sfruttano la situazione per compromettere i server vulnerabili. Meta, l’azienda che gestisce React, ha confermato l’esistenza di questa vulnerabilità e ha avviato misure per mitigare i danni.
Dettagli sulla vulnerabilità React2Shell
Identificata con il codice CVE-2025-55182, la vulnerabilità in questione è un difetto di deserializzazione non sicura che colpisce le versioni 19.0.0, 19.1.0, 19.1.1 e 19.2.0 dei componenti server di React. Questo problema consente a un attaccante di inviare richieste HTTP malevole a un endpoint di funzione server, ottenendo così il controllo totale sul server target.
In pratica, chi riesce a sfruttare questa falla può eseguire codice arbitrario con i privilegi del processo Node.js.
Come funziona l’attacco
Il meccanismo alla base della vulnerabilità risiede nella funzione requireModule all’interno del pacchetto react-server-dom-webpack. Grazie all’uso di vm.runInThisContext, gli attaccanti possono indurre React a eseguire codice malevolo fornito come parte della richiesta. Questa caratteristica rende la vulnerabilità particolarmente pericolosa, poiché non richiede alcuna forma di autenticazione.
Minacce emergenti e attori coinvolti
Secondo le analisi condotte da Amazon Web Services (AWS), diversi gruppi di attaccanti, in particolare quelli con legami con la Cina, stanno approfittando della vulnerabilità React2Shell. I gruppi noti come Earth Lamia e Jackpot Panda sono stati identificati come i principali responsabili di attacchi mirati a organizzazioni in Asia, America Latina e Medio Oriente.
Impatto sull’infrastruttura globale
Le stime suggeriscono che ci siano oltre 950.000 server esposti a questa vulnerabilità, il che rappresenta una superficie d’attacco massiccia. Con React e Next.js utilizzati in numerosi progetti, la dipendenza da questi framework aumenta notevolmente i rischi associati. La facilità di sfruttamento della vulnerabilità rende urgente l’applicazione di misure di sicurezza.
Raccomandazioni e misure preventive
Per coloro che utilizzano React o Next.js, è fondamentale aggiornare i propri sistemi alle versioni più recenti disponibili, che includono patch di sicurezza specifiche per affrontare la vulnerabilità React2Shell. Le versioni corrette sono 19.0.1, 19.1.2 e 19.2.1 per React e 16.0.7, 15.5.7, 15.4.8 e altre per Next.js.
Inoltre, è consigliabile adottare pratiche di monitoraggio e auditing per identificare potenziali exploit in corso. I fornitori di servizi cloud come Cloudflare e Akamai hanno già implementato misure di protezione per mitigare i rischi legati a questa falla, ma è fondamentale che anche gli sviluppatori e le aziende prendano iniziative proattive.
