- React2Shell (CVE-2025-55182) wordt uitgebuit om honderden systemen wereldwijd in gevaar te brengen
- Aan China gelieerde groepen en Noord-Korea exploiteren bugs voor doorzettingsvermogen, spionage en cryptomining
- Patch onmiddellijk naar React-versie 19.0.1, 19.1.2 of 19.2.1.
React2Shell, een kritieke kwetsbaarheid in React Server Components (RCS), werd al gebruikt om “enkele honderden machines in een verscheidenheid aan organisaties” in gevaar te brengen.
Dit is volgens Microsoftwiens recente blogpost de kwetsbaarheid bespreekt en hoe je je kunt verdedigen tegen inkomende aanvallen.
Begin december publiceerde het React-team een beveiligingsadvies waarin een pre-autorisatiefout in meerdere versies van meerdere pakketten werd beschreven die van invloed is op RCS. De bug, nu genaamd “React2Shell”, wordt bijgehouden als CVE-2025-55182 en krijgt een ernstscore van 10/10 (kritiek).
Willekeurige commando’s, droppers en cryptominers
Gezien het feit dat React een van de meest populaire JavaScript-bibliotheken is die een groot deel van het huidige internet aandrijft, waarschuwden onderzoekers dat uitbuiting op handen was en drongen ze er bij iedereen op aan de patch onverwijld toe te passen en hun systemen bij te werken naar versie 19.0.1, 19.1.2 en 19.2.1.
Nu zegt Microsoft dat deze waarschuwingen zijn uitgekomen, omdat verschillende bedreigingsactoren de fout hebben uitgebuit om willekeurige opdrachten uit te voeren. malwareen beweegt zich lateraal door de doelinfrastructuur en mengt zich met succes met ander legitiem verkeer.
Redmond benadrukte ook dat het aantal aanvallen toenam nadat React de resultaten openbaar had gemaakt, naarmate meer bedreigingsactoren overgingen om op geheugen gebaseerde downloaders en cryptominers te implementeren.
Twee weken geleden, Amazone Web Services (AWS) meldde dat twee Aan China gelieerde groepenEarth Lamia en Jackpot Panda hebben de fout gebruikt om organisaties in verschillende branches te targeten.
De doelwitten bevinden zich over de hele wereld, van Latijns-Amerika tot het Midden-Oosten en Zuidoost-Azië. Financiële dienstverleners, logistieke bedrijven, de detailhandel, IT-bedrijven, universiteiten en overheidsorganisaties worden allemaal aangevallen – met als doel doorzettingsvermogen en cyberspionage te bewerkstelligen.
Kort daarna zagen onderzoekers ook dat Noord-Koreaanse, door de staat gesponsorde dreigingsactoren hetzelfde deden. Het enige verschil is dat de Noord-Koreanen de fout gebruiken om een nieuw persistentiemechanisme te implementeren, malware genaamd EtherRAT. Vergeleken met wat Earth Lamia en Jackpot Panda deden, is EtherRAT “veel geavanceerder”, wat neerkomt op een persistent toegangsimplantaat dat de technieken van ten minste drie gedocumenteerde campagnes combineert.
Via Het register
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen. Klik dan zeker op de knop Volgen!
En jij kunt dat natuurlijk ook Volg TechRadar op TikTok voor nieuws, recensies, video-unboxings en ontvang regelmatig updates van ons WhatsAppen Ook.
