Vulnerabilità Critica nei React Server Components
Un bug critico di esecuzione di codice remoto (RCE) nei React Server Components viene sfruttato per dirottare server, prosciugare portafogli di criptovalute, installare miner di Monero e alimentare un’ondata di furti da 3 miliardi di dollari nel 2025, nonostante le urgenti richieste di patch.
Dettagli della Vulnerabilità
Una vulnerabilità di sicurezza critica in React Server Components ha generato avvisi urgenti in tutta l’industria delle criptovalute, poiché gli attori delle minacce sfruttano questo difetto per svuotare portafogli e distribuire malware, secondo quanto riportato da Security Alliance. Quest’ultima ha annunciato che i “crypto-drainers” stanno attivamente sfruttando la CVE-2025-55182, esortando tutti i siti web a rivedere immediatamente il loro codice front-end per individuare beni sospetti.
La vulnerabilità colpisce non solo i protocolli Web3, ma tutti i siti web che utilizzano React, con gli attaccanti che prendono di mira le firme di autorizzazione su diverse piattaforme. Gli utenti affrontano rischi quando firmano transazioni, poiché il codice malevolo intercetta le comunicazioni del portafoglio e reindirizza i fondi verso indirizzi controllati dagli attaccanti, secondo i ricercatori di sicurezza.
Divulgazione e Impatto
Il team ufficiale di React ha divulgato la CVE-2025-55182 il 3 dicembre, valutandola con un punteggio CVSS di 10.0, dopo il rapporto di Lachlan Davidson del 29 novembre tramite Meta Bug Bounty. La vulnerabilità di esecuzione di codice remoto non autenticato sfrutta il modo in cui React decodifica i payload inviati agli endpoint delle Funzioni Server, consentendo agli attaccanti di creare richieste HTTP malevole che eseguono codice arbitrario sui server.
Il difetto colpisce le versioni di React 19.0, 19.1.0, 19.1.1 e 19.2.0 nei pacchetti react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack. I principali framework, tra cui Next.js, React Router, Waku ed Expo, richiedono aggiornamenti immediati, secondo l’avviso.
Attività Malevole e Conseguenze
I ricercatori hanno trovato due nuove vulnerabilità in React Server Components mentre tentavano di sfruttare le patch. Questi sono nuovi problemi, separati dalla CVE critica. La patch per React2Shell rimane efficace contro lo sfruttamento di Remote Code Execution.
Vercel ha implementato regole del Web Application Firewall per proteggere automaticamente i progetti sulla sua piattaforma, sebbene l’azienda abbia sottolineato che la protezione WAF da sola non è sufficiente. Sono necessari aggiornamenti immediati a una versione patchata, ha dichiarato Vercel nel suo bollettino di sicurezza del 3 dicembre.
“La vulnerabilità colpisce le applicazioni che elaborano input non attendibili in modi che consentono l’esecuzione di codice remoto.”
Attacchi e Malware
Il Google Threat Intelligence Group ha documentato attacchi diffusi a partire dal 3 dicembre, tracciando gruppi criminali che vanno dagli hacker opportunisti alle operazioni sostenute da governi. I gruppi di hacker cinesi hanno installato vari tipi di malware su sistemi compromessi, prendendo di mira principalmente i server cloud su Amazon Web Services e Alibaba Cloud.
Questi attaccanti hanno impiegato tecniche per mantenere l’accesso a lungo termine ai sistemi delle vittime. Alcuni gruppi hanno installato software che crea tunnel di accesso remoto, mentre altri hanno distribuito programmi che scaricano continuamente strumenti malevoli aggiuntivi mascherati da file legittimi.
I criminali motivati finanziariamente hanno aderito all’ondata di attacchi a partire dal 5 dicembre, installando software di mining di criptovalute che utilizza la potenza di calcolo delle vittime per generare Monero. Questi miner funzionano costantemente in background, aumentando i costi dell’elettricità mentre generano profitti per gli attaccanti.
Raccomandazioni di Sicurezza
Le organizzazioni che utilizzano React o Next.js sono consigliate a:
- Patchare immediatamente alle versioni 19.0.1, 19.1.2 o 19.2.1.
- Implementare regole WAF.
- Auditare tutte le dipendenze.
- Monitorare il traffico di rete per comandi wget o cURL avviati dai processi del server web.
- Cercare directory nascoste non autorizzate o iniezioni di configurazione shell malevole.
Secondo i dati globali di Ledger, gli hacker hanno rubato oltre 3 miliardi di dollari in 119 incidenti nella prima metà del 2025, con il 70% delle violazioni che coinvolgono fondi spostati prima che diventassero pubblici. Solo il 4,2% degli asset rubati è stato recuperato, poiché il riciclaggio ora richiede secondi anziché ore.
