Augmenten atacs per la vulnerabilitat React2Shell

critica · VULNERABILITAT · tecnologia, serveis en línia

#noticia#vulnerabilitat#gravetat-critica#tecnologia#serveis-en-línia#ciberseguretat#react2shell

8 de desembre del 2025 · DarkReading ↗

Resum

S’ha detectat una vulnerabilitat crítica anomenada React2Shell que permet l’execució remota de codi sense autenticació en aplicacions React i Next.js. Més de 77.000 dispositius són vulnerables i ja s’han confirmat atacs reals, incloent grups vinculats a l’estat xinès. Es recomana actualitzar urgentment i aplicar mesures de seguretat per evitar compromisos greus.

Què ha passat?

El 3 de desembre de 2025, el React Team va revelar la vulnerabilitat React2Shell (CVE-2025-55182), que afecta React Server Components i frameworks com Next.js. Aquesta vulnerabilitat permet a atacants executar codi arbitrari al servidor mitjançant una única petició HTTP especialment manipulada, sense necessitat d’autenticació ni acció de l’usuari. La causa és una deserialització insegura de dades controlades pel client dins del protocol Flight de React.

Des de la seva divulgació, s’han detectat més de 77.000 adreces IP vulnerables a tot el món, amb una concentració significativa als Estats Units, Holanda, la Xina i Hong Kong. S’han confirmat més de 30 organitzacions compromeses, on els atacants han executat ordres malicioses, han intentat robar credencials d’AWS i han instal·lat eines com Cobalt Strike per mantenir l’accés persistent. Els grups d’amenaça amb vincles xinesos estan accelerant l’explotació d’aquesta vulnerabilitat.

Els atacs inclouen l’ús de scripts PowerShell per desactivar sistemes de seguretat i descarregar càrregues malicioses addicionals, com miners de criptomonedes i ransomware. Les configuracions per defecte de moltes aplicacions Next.js són vulnerables, fet que facilita l’explotació massiva i automatitzada a gran escala.

Impacte empreses

Les petites i mitjanes empreses que utilitzin aplicacions basades en React Server Components o Next.js poden veure’s greument afectades per aquesta vulnerabilitat, ja que un atacant pot prendre el control dels seus servidors sense necessitat d’autenticació. Això pot provocar la pèrdua de dades sensibles, interrupcions en el servei i fins i tot la instal·lació de programari maliciós com ransomware, amb un impacte econòmic i reputacional molt important.

Impacte ciutadans

Els ciutadans poden patir les conseqüències indirectes d’aquesta vulnerabilitat quan utilitzen serveis en línia que depenen de React o Next.js, ja que els atacants podrien accedir a les seves dades personals o credencials emmagatzemades en aquests serveis. A més, la possible interrupció dels serveis pot afectar la disponibilitat i la confiança en les plataformes digitals que utilitzen diàriament.

Accions immediates

Actualitzar immediatament React i Next.js a les versions que solucionen la vulnerabilitat
Implementar regles de tallafocs d’aplicació web (WAF) per bloquejar peticions malicioses

Mesures preventives

Monitoritzar el tràfic i l’activitat dels servidors per detectar intents d’explotació
Desactivar React Server Components si no són estrictament necessaris o revisar la configuració per evitar exposició innecessària