Čínské skupiny začaly zneužívat novou kritickou zranitelnost React2Shell během několika hodin. Internet to pocítil okamžitě

Nově zveřejněná kritická zranitelnost React2Shell (CVE-2025-55182) zasáhla internet mnohem rychleji, než bezpečnostní komunita čekala.
Podle zprávy Amazon Web Services (AWS) začaly čínské státem podporované skupiny Earth Lamia a Jackpot Panda aktivně zneužívat chybu jen několik hodin poté, co byla zveřejněna.

React2Shell umožňuje útočníkovi získat vzdálený přístup ke kódu na serveru bez nutnosti autentizace – jde o zranitelnost typu remote code execution (RCE) s maximálním skóre závažnosti 10.0.

Chyba se týká React Server Components ve verzích:

• 19.0.0
• 19.1.0
• 19.1.1
• 19.2.0

v balíčcích react-server-dom-*.

React tým vydal opravy v aktualizacích:

• 19.0.1
• 19.1.2
• 19.2.1

Řada nasazených systémů ale nebyla v prvních dnech po zveřejnění ještě aktualizovaná – což je přesně okno, na které útočníci cílí.

Čínští aktéři reagovali během hodin

Podle AWS byly pokusy o zneužití zachyceny jejich honeypot infrastrukturou krátce po zveřejnění.
Analytici zaznamenali útoky z adres a serverů dlouhodobě spojovaných s „China-nexus“ aktéry Earth Lamia a Jackpot Panda.

Earth Lamia cílí dlouhodobě na:

• finanční služby,
• logistiku,
• univerzity,
• vládní instituce v Latinské Americe a na Blízkém východě.

Jackpot Panda je spojována mimo jiné se supply-chain kompromitací softwaru Comm100.

Cloudflare: výpadek při nasazování ochranných pravidel

Do celé situace vstoupil i Cloudflare, který 5. prosince zaznamenal významný výpadek své sítě.
Firma potvrdila, že incident nebyl způsoben útokem, ale chybou v konfiguraci Web Application Firewallu, konkrétně změnou, kterou nasazovala jako ochranu proti React2Shell a souvisejícím útokům na React Server Components.

Výpadek:

• trval přibližně 25 minut,
• zasáhl zhruba 28 % HTTP provozu,
• projevil se výpadky velkých webových služeb po celém světě.

Dopad na internet je okamžitý. React patří k nejrozšířenějším frameworkům

Nejde o akademický problém – React je jedním z nejpoužívanějších webových frameworků na světě.
Jakýkoli kritický problém v jeho serverových komponentech má okamžitý dopad na reálné služby.

Firmy by měly co nejrychleji:

• prověřit, zda používají zranitelné verze React Server Components,
• nasadit poslední bezpečnostní aktualizace,
• sledovat logy a pokusy o neautorizované spuštění kódu,
• zkrátit dobu mezi zveřejněním zranitelnosti a nasazením patche.

Nový standard: útoky nepřicházejí za týdny, ale v řádu hodin

Jak ukazují data AWS i dalších bezpečnostních týmů, rychlost čínských APT skupin nastavuje nový standard:
mezi zveřejněním chyby a reálnými pokusy o její masové zneužití nemusí být týdny ani dny, ale jen hodiny.