A comunidade de cibersegurança está em estado de alerta máximo devido a uma vulnerabilidade crítica que afeta frameworks que implementam React Server Components. Batizada de React2Shell (CVE-2025-55182), esta falha de execução remota de código (RCE) não requer autenticação e já está a ser explorada ativamente por dezenas de organizações e grupos de ameaças estatais.
O problema reside na desserialização insegura de dados controlados pelo cliente dentro dos componentes do servidor, permitindo que atacantes executem comandos arbitrários com um simples pedido HTTP. A falha afeta não apenas o React, mas também o popular Next.js, colocando em risco uma vasta infraestrutura web.
Um cenário de exploração global
A dimensão do problema tornou-se clara após a divulgação da prova de conceito (PoC). Segundo os dados mais recentes partilhados pela Shadowserver, existem atualmente 77.664 endereços IP expostos e vulneráveis a esta falha em todo o mundo, com uma concentração significativa de quase 24.000 servidores localizados apenas nos Estados Unidos.
A velocidade de exploração acelerou drasticamente no dia 4 de dezembro, momento em que o investigador de segurança Maple3142 publicou uma demonstração funcional do ataque. Desde então, ferramentas automatizadas começaram a varrer a internet em busca de servidores não atualizados. A GreyNoise detetou 181 endereços IP distintos a tentar explorar a falha nas últimas 24 horas, com origem predominante nos Países Baixos, China e Hong Kong.
Os atacantes utilizam frequentemente comandos PowerShell simples para confirmar a vulnerabilidade, seguidos de scripts codificados em base64 que descarregam payloads adicionais diretamente para a memória, dificultando a deteção.
Grupos estatais e impacto na infraestrutura
A situação é agravada pelo perfil dos atacantes. A Palo Alto Networks reportou que mais de 30 organizações já foram comprometidas, incluindo intrusões ligadas a atores de ameaças estatais chineses, conhecidos como Earth Lamia, Jackpot Panda e UNC5174. O objetivo destes ataques vai desde o reconhecimento da rede até ao roubo de ficheiros de configuração e credenciais da AWS.
Em muitos casos, foi observada a instalação de beacons Cobalt Strike e backdoors como o "Vshell", garantindo aos invasores uma porta de entrada persistente nas redes comprometidas.
A gravidade da situação levou a medidas drásticas e, por vezes, problemáticas. Numa tentativa de mitigar o risco, a Cloudflare implementou regras de emergência na sua Web Application Firewall (WAF). No entanto, esta atualização inadvertidamente causou uma interrupção de serviço que afetou inúmeros sites em todo o mundo, demonstrando a tensão e a urgência que se vive nos bastidores para conter esta ameaça.
A CISA já adicionou a CVE-2025-55182 ao seu catálogo de vulnerabilidades exploradas, exigindo que as agências federais apliquem as correções até 26 de dezembro de 2025. Para os programadores e administradores de sistemas, a recomendação é única e urgente: atualizar o React para a versão mais recente, reconstruir as aplicações e realizar o redeployment imediato.
Nenhum comentário
Seja o primeiro!