Kritisk Sårbarhet i React Server Components
En kritisk sårbarhet i React Server Components (RCE) blir utnyttet for å kapre servere, tømme kryptovaluta-lommebøker, plante Monero-minere og forsterke en tyveribølge på 3 milliarder dollar i 2025, til tross for presserende oppdateringsanmodninger. Sikkerhetsvulnerabiliteten har ført til presserende advarsler i kryptovalutaindustrien, ettersom trusselaktører utnytter feilen til å tømme lommebøker og distribuere skadelig programvare, ifølge Security Alliance.
Utnyttelse av Sårbarheten
Security Alliance kunngjorde at kryptotømmere aktivt utnytter CVE-2025-55182, og oppfordrer alle nettsteder til å gjennomgå sin front-end-kode umiddelbart for mistenkelige elementer.
Sårbarheten påvirker ikke bare Web3-protokoller, men alle nettsteder som bruker React, med angripere som retter seg mot tillatelsessignaturer på tvers av plattformer. Brukere står i fare når de signerer transaksjoner, ettersom ondsinnet kode kan avskjære lommebokkommunikasjon og omdirigere midler til adresser kontrollert av angriperen, ifølge sikkerhetsforskere.
Detaljer om Sårbarheten
React-teamet avslørte CVE-2025-55182 den 3. desember, og vurderte den til CVSS 10.0 etter Lachlan Davidsons rapport den 29. november gjennom Meta Bug Bounty. Den uautentiserte fjernkodekjøringsvulnerabiliteten utnytter hvordan React dekoder nyttelaster sendt til Server Function-endepunkter, noe som gjør det mulig for angripere å lage ondsinnede HTTP-forespørsel som kjører vilkårlig kode på servere.
Feilen påvirker React-versjoner 19.0, 19.1.0, 19.1.1 og 19.2.0 på tvers av react-server-dom-webpack, react-server-dom-parcel og react-server-dom-turbopack pakker. Store rammeverk, inkludert Next.js, React Router, Waku og Expo, krever umiddelbare oppdateringer.
Angrep og Konsekvenser
Forskere har funnet to nye sårbarheter i React Server Components mens de forsøkte å utnytte oppdateringene. Oppdateringen for React2Shell forblir effektiv mot fjernkodekjøringsutnyttelsen. Vercel implementerte regler for Web Application Firewall for automatisk å beskytte prosjekter på plattformen sin, selv om selskapet understreket at WAF-beskyttelse alene er utilstrekkelig.
Umiddelbare oppgraderinger til en oppdatert versjon er påkrevd, uttalte Vercel i sitt sikkerhetsbulletin den 3. desember.
Google Threat Intelligence Group dokumenterte utbredte angrep som begynte den 3. desember, og sporet kriminelle grupper som spenner fra opportunistiske hackere til statlig støttede operasjoner. Kinesiske hackinggrupper installerte ulike typer skadelig programvare på kompromitterte systemer, primært rettet mot skyservere på Amazon Web Services og Alibaba Cloud.
Økonomiske Motiverte Angrep
Økonomisk motiverte kriminelle sluttet seg til angrepsbølgen som startet den 5. desember, og installerte kryptovaluta-gruvedriftprogramvare som bruker ofrenes datakraft til å generere Monero. Disse minerne kjører konstant i bakgrunnen, noe som øker strømregningene mens de genererer profitt for angriperne.
Underjordiske hackingfora ble raskt fylt med diskusjoner som delte angrepsverktøy og utnyttelsesopplevelser. React-sårbarheten følger et angrep den 8. september der hackere kompromitterte Josh Goldbergs npm-konto og publiserte ondsinnede oppdateringer til 18 mye brukte pakker.
Råd til Organisasjoner
Organisasjoner som bruker React eller Next.js anbefales å oppdatere umiddelbart til versjoner 19.0.1, 19.1.2 eller 19.2.1, implementere WAF-regler, revidere alle avhengigheter, overvåke nettverkstrafikk for wget eller cURL-kommandoer initiert av webserverprosesser, og lete etter uautoriserte skjulte kataloger eller ondsinnede shell-konfigurasjonsinjeksjoner.
