A equipa de inteligência de ameaças da Google associou mais cinco grupos de piratas informáticos chineses a ataques que exploram a vulnerabilidade de gravidade máxima "React2Shell". Esta falha, que tem estado sob exploração ativa, permite a execução remota de código e coloca em risco milhares de servidores em todo o mundo.
A vulnerabilidade, rastreada como CVE-2025-55182, afeta a biblioteca JavaScript de código aberto React e permite que atacantes não autenticados executem código arbitrário em aplicações React e Next.js através de um único pedido HTTP. O problema reside em várias configurações padrão de pacotes React, afetando especificamente as versões 19.0, 19.1.0, 19.1.1 e 19.2.0, lançadas no último ano.
Espionagem, portas traseiras e roubo de dados
Segundo a análise da Google Threat Intelligence, pelo menos cinco novos grupos de ciberespionagem chineses juntaram-se aos ataques em curso, que começaram logo após a divulgação da falha a 3 de dezembro. A lista de ameaças ligadas ao estado chinês inclui agora designações como UNC6600, que implementou o software de tunelamento MINOCAT, e o UNC6588, responsável pela porta traseira COMPOOD.
Os atacantes estão a aproveitar esta brecha não apenas para executar comandos, mas também para roubar ficheiros de configuração da AWS, credenciais e outras informações sensíveis. A equipa de segurança da Amazon Web Services já tinha alertado que atores como o Earth Lamia e Jackpot Panda começaram a explorar o "React2Shell" poucas horas após a sua divulgação pública.
Além da espionagem estatal, a Google detetou também atores iranianos a visarem a falha, bem como criminosos motivados financeiramente que estão a instalar software de mineração de criptomoeda XMRig nos sistemas não corrigidos, conforme detalhado no site informativo React2Shell.
Uma falha com impacto global
A dimensão do problema é vasta, dado o uso generalizado de componentes React Server em frameworks populares. O grupo de monitorização Shadowserver está atualmente a rastrear mais de 116.000 endereços IP vulneráveis a ataques, com a grande maioria localizada nos Estados Unidos.
A urgência em corrigir esta falha já teve consequências visíveis na infraestrutura da internet. No passado dia 5 de dezembro, a Cloudflare ligou uma falha global nos seus serviços à implementação de mitigações de emergência destinadas a proteger os clientes precisamente contra a vulnerabilidade React2Shell.
A GreyNoise observou mais de 670 endereços IP a tentar explorar ativamente esta falha nas últimas 24 horas, com origens que vão desde a China e Rússia até aos Estados Unidos e Europa. Os especialistas recomendam a atualização imediata para as versões corrigidas do React para fechar esta porta de entrada crítica.
Nenhum comentário
Seja o primeiro!