Kritische Sicherheitsanfälligkeit in React Server Components
Eine kritische Sicherheitsanfälligkeit (RCE-Bug) in React Server Components wird derzeit ausgenutzt, um Server zu übernehmen, Krypto-Wallets zu leeren, Monero-Miner zu installieren und eine Diebstahlwelle von bis zu 3 Milliarden Dollar bis 2025 zu verstärken, trotz dringender Appelle zur Behebung der Schwachstelle.
Alarmierende Warnungen der Security Alliance
Die Security Alliance hat alarmierende Warnungen in der Kryptowährungsbranche veröffentlicht, da Bedrohungsakteure die Schwachstelle ausnutzen, um Wallets zu leeren und Malware zu verbreiten. Laut der Security Alliance nutzen Krypto-Drainer aktiv die Schwachstelle CVE-2025-55182 aus und fordern alle Websites auf, ihren Frontend-Code umgehend auf verdächtige Elemente zu überprüfen.
Betroffene Systeme und Sicherheitsbewertung
Diese Sicherheitsanfälligkeit betrifft nicht nur Web3-Protokolle, sondern alle Websites, die React verwenden, wobei Angreifer Genehmigungssignaturen über verschiedene Plattformen hinweg ins Visier nehmen. Benutzer sind gefährdet, wenn sie Transaktionen signieren, da bösartiger Code Wallet-Kommunikationen abfängt und Gelder an von Angreifern kontrollierte Adressen umleitet, so Sicherheitsforscher.
Das offizielle React-Team gab die Schwachstelle CVE-2025-55182 am 3. Dezember bekannt und bewertete sie mit einem CVSS-Wert von 10.0, basierend auf einem Bericht von Lachlan Davidson vom 29. November über das Meta Bug Bounty.
Technische Details der Schwachstelle
Die nicht authentifizierte Remote-Code-Ausführungsanfälligkeit nutzt aus, wie React Payloads decodiert, die an Server-Funktionsendpunkte gesendet werden, was es Angreifern ermöglicht, bösartige HTTP-Anfragen zu erstellen, die beliebigen Code auf Servern ausführen. Der Fehler betrifft die React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 in den Paketen react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack.
Wichtige Frameworks wie Next.js, React Router, Waku und Expo benötigen sofortige Updates. Patches wurden in den Versionen 19.0.1, 19.1.2 und 19.2.1 bereitgestellt, wobei Next.js-Benutzer Updates über mehrere Release-Linien von 14.2.35 bis 16.0.10 benötigen.
Zusätzliche Schwachstellen und Schutzmaßnahmen
Forscher haben während ihrer Untersuchungen zwei neue Schwachstellen in React Server Components entdeckt, die unabhängig von der kritischen CVE sind. Der Patch für React2Shell bleibt wirksam gegen die Remote-Code-Ausführungsanfälligkeit. Vercel hat Regeln für Web Application Firewalls implementiert, um Projekte auf seiner Plattform automatisch zu schützen, betont jedoch, dass der WAF-Schutz allein nicht ausreicht.
Sofortige Upgrades auf eine gepatchte Version sind erforderlich, erklärte Vercel in seinem Sicherheitsbulletin vom 3. Dezember und fügte hinzu, dass die Schwachstelle Anwendungen betrifft, die nicht vertrauenswürdige Eingaben auf eine Weise verarbeiten, die Remote-Code-Ausführung ermöglicht.
Dokumentierte Angriffe und Malware-Installation
Die Google Threat Intelligence Group dokumentierte weit verbreitete Angriffe, die am 3. Dezember begannen, und verfolgte kriminelle Gruppen, die von opportunistischen Hackern bis hin zu staatlich unterstützten Operationen reichen. Chinesische Hackergruppen installierten verschiedene Malware-Typen auf kompromittierten Systemen, wobei sie hauptsächlich Cloud-Server bei Amazon Web Services und Alibaba Cloud ins Visier nahmen.
Diese Angreifer verwendeten Techniken, um langfristigen Zugriff auf die Systeme der Opfer zu erhalten. Einige Gruppen installierten Software, die Remote-Zugriffstunnel erstellt, während andere Programme einsetzten, die kontinuierlich zusätzliche bösartige Werkzeuge herunterladen, die als legitime Dateien getarnt sind. Die Malware versteckt sich in Systemordnern und startet automatisch neu, um eine Entdeckung zu vermeiden.
Finanzmotivierte Angriffe und Krypto-Mining
Finanzmotivierte Kriminelle schlossen sich der Angriffswelle ab dem 5. Dezember an und installierten Krypto-Mining-Software, die die Rechenleistung der Opfer nutzt, um Monero zu generieren. Diese Miner laufen ständig im Hintergrund, treiben die Stromkosten in die Höhe und generieren Gewinne für die Angreifer.
Untergrund-Hacking-Foren füllten sich schnell mit Diskussionen über Angriffswerkzeuge und Ausbeutungserfahrungen. Die React-Schwachstelle folgt einem Angriff vom 8. September, bei dem Hacker Josh Goldbergs npm-Konto kompromittierten und bösartige Updates für 18 weit verbreitete Pakete veröffentlichten.
Empfehlungen für betroffene Organisationen
Organisationen, die React oder Next.js verwenden, wird geraten, sofort auf die Versionen 19.0.1, 19.1.2 oder 19.2.1 zu patchen, WAF-Regeln zu implementieren, alle Abhängigkeiten zu überprüfen, den Netzwerkverkehr auf wget- oder cURL-Befehle zu überwachen, die von Webserver-Prozessen initiiert werden, und nach unbefugten versteckten Verzeichnissen oder bösartigen Shell-Konfigurationsinjektionen zu suchen.
