好的,我需要帮用户总结一篇文章,控制在100字以内。首先,我得通读文章,抓住主要信息。文章讲的是React的一个漏洞,叫做React2Shell,已经被攻击者利用影响了30多个组织。漏洞编号是CVE-2025-55182,由Lachlan Davidson发现,允许攻击者在未经认证的情况下执行远程代码。 然后,Maple3142在X上分享了一个概念验证(PoC),显示攻击的有效性。根据ShadowServer的数据,有超过16万个IP地址受到影响,主要在美国。攻击者利用这个漏洞进行初始侦察,窃取配置文件和AWS凭证,并部署恶意软件如Snowlight和Vshell。 此外,研究人员将这些攻击与几个中国APT组织联系起来。为了防御,开发者需要更新React到最新版本,并重新构建和部署应用。CISA要求联邦机构在12月26日前应用补丁。 现在我需要把这些信息浓缩到100字以内。重点包括:漏洞名称、影响的组织数量、攻击者利用情况、受影响的IP数量、攻击行为、关联的APT组织以及防御措施。 可能的结构是:React2Shell漏洞被利用影响30多个组织;允许远程代码执行;超过16万IP受影响;攻击者窃取信息并部署恶意软件;与几个中国APT有关;建议更新React版本。 </think> React2Shell 漏洞允许远程代码执行,已影响30多个组织和超16万个IP。攻击者利用此漏洞窃取配置文件和凭证,并部署恶意软件如Snowlight和Vshell。该漏洞与多个中国APT组织相关联。建议开发者更新React至最新版本以防御此威胁。 2025-12-9 09:15:30 Author: www.securityinfo.it(查看原文) 阅读量:8 收藏
Dic 09, 2025 Attacchi, In evidenza, Minacce, News, RSS, Vulnerabilità
React2Shell, una vulnerabilità di React che consente l’esecuzione di codice da remoto, è già stata sfruttata dagli attaccanti per colpire più di 30 organizzazioni di diversi settori.
La vulnerabilità (CVE-2025-55182), scoperta dal ricercatore di sicurezza Lachlan Davidson, è stata resa nota lo scorso 3 dicembre. Il bug consente a un attaccante di “eseguire codice da remoto senza autenticazione sfruttando un errore nel modo in cui React decodifica i payload inviati agli endpoint di React Server Function“, come si legge nel blog della compagnia.
Il giorno dopo, il 4 dicembre, il ricercatore Maple3142 ha condiviso su X una PoC per dimostrare l’efficacia degli attacchi che sfruttano React2Shell contro i server React vulnerabili.
A distanza di qualche giorno, l’impatto di React2Shell appare preoccupante: secondo i dati condivisi e aggiornati quotidianamente dal gruppo ShadowServer, a oggi sono 165.712 gli indirizzi IP vulnerabili, un numero che negli scorsi giorni ha continuato ad aumentare. Stando alla mappa della distribuzione geografica degli IP, gli Stati Uniti contano la maggior parte degli indirizzi IP vulnerabili a livello globale.
Come riporta anche Bleeping Computer, da quando la vulnerabilità è stata resa nota numerosi ricercatori e compagnie di sicurezza hanno segnalato uno sfruttamento piuttosto diffuso del bug.
Secondo i report condivisi, gli attaccanti sfruttano la vulnerabilità per eseguire una prima ricognizione sui server; in seguito, tentano di sottrarre file di configurazione e credenziali AWS ed eseguono comandi arbitrari. Durante queste intrusioni, gli attaccanti hanno distribuito malware quali Snowlight e Vshell, una backdoor comunemente usata dai cyberattaccanti cinesi per muoversi lateralmente nelle reti compromesse.
I ricercatori hanno collegato agli attacchi gruppi APT cinesi come Earth Lamia, Jackpot Panda e UNC5174, un gruppo che sembrerebbe essere legato al Ministero della Sicurezza dello Stato cinese.
Per proteggersi dalla vulnerabilità, gli sviluppatori devono aggiornare React all’ultima versione ed effettuare di nuovo build e deploy delle applicazioni. La CISA ha richiesto alle agenzie federali di applicare le patch entro il 26 dicembre.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh