React2Shell: due ore tra la pubblicazione dell’exploit e lo sfruttamento attivo

Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più fondamentale aumentare l’attenzione al patching dei sistemi, adottando processi di aggiornamento tempestivi e rigorosi per ridurre al minimo il rischio di compromissione.

Due gruppi di hacker con legami con la Cina hanno iniziato a sfruttare la vulnerabilità critica nei componenti di React Server poche ore dopo la sua divulgazione pubblica. La vulnerabilità, CVE-2025-55182, ha un punteggio massimo di 10 ed è stata soprannominata “React2Shell” dalla community. Consente l’esecuzione di codice remoto senza alcuna autenticazione sul server vulnerabile. Il problema è già stato risolto nelle versioni 19.0.1, 19.1.2 e 19.2.1 di React, ma i progetti non patchati rimangono facili prede per gli aggressori.

Secondo un rapporto di Amazon Web Services, sono stati rilevati tentativi di sfruttare React2Shell nell’infrastruttura honeypot di AWS MadPot. I log hanno mostrato attività di hacker provenienti da indirizzi IP e server precedentemente collegati a gruppi sponsorizzati dallo Stato cinese. Gli analisti hanno identificato due campagne coinvolte, denominate Earth Lamia e Jackpot Panda.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Earth Lamia è descritto come un gruppo affiliato alla Cina, precedentemente accusato di aver sfruttato una vulnerabilità critica in SAP NetWeaver (CVE-2025-31324). I suoi interessi non si limitano a un singolo settore: sono stati presi di mira istituti finanziari, aziende di logistica, aziende di vendita al dettaglio, il settore IT, università ed enti governativi in America Latina, Medio Oriente e Sud-est asiatico.

Il secondo gruppo, Jackpot Panda, tradizionalmente prende di mira le aziende che operano o servono il mercato del gioco d’azzardo online nell’Asia orientale e sud-orientale. Secondo CrowdStrike, è attivo almeno dal 2020 e preferisce accedere alle reti delle vittime tramite terze parti fidate, sfruttando catene di affiliazione compromesse per installare sistemi dannosi e ottenere l’accesso iniziale.

I ricercatori hanno inoltre notato che in una campagna, gli aggressori hanno utilizzato un installer trojanizzato per CloudChat, un messenger popolare nelle comunità clandestine di gioco d’azzardo in lingua cinese. Il sito web dell’app ha distribuito un installer che ha avviato una catena multi-step per installare un nuovo impianto XShade, il cui codice è collegato al malware proprietario CplRAT utilizzato da Jackpot Panda.

Amazon segnala che, oltre a React2Shell, gli stessi autori stanno sfruttando contemporaneamente altre vulnerabilità note, tra cui un bug nelle telecamere NUUO (CVE-2025-1338 , CVSS 7.3). Ciò suggerisce che gli operatori non si stanno limitando a una singola vulnerabilità, ma stanno analizzando massicciamente Internet alla ricerca di sistemi non aggiornati, combinando più CVE in un’unica ondata di attacchi.

Secondo CJ Moses, Direttore della Sicurezza di Amazon, questo è un sistema tipico e ben collaudato, utilizzato dai team avanzati. Monitorano costantemente i nuovi report sulle vulnerabilità, integrano rapidamente l’exploit pubblicato nella loro infrastruttura di scansione e lanciano campagne su più vulnerabilità per massimizzare le possibilità di individuare obiettivi vulnerabili. Per i proprietari di siti web e servizi React, questo significa una cosa: se un’applicazione utilizza i componenti React Server e non è ancora stata aggiornata alle versioni più recenti, deve essere urgentemente patchata e ulteriormente monitorata per eventuali compromissioni.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.