Kritisk Sårbarhed i React Server Components
En kritisk sårbarhed i React Server Components, kendt som RCE (Remote Code Execution), bliver udnyttet til at overtage servere, tømme kryptovaluta-tegnebøger, plante Monero-minere og forårsage en tyveribølge på $3 milliarder i 2025, på trods af presserende opdateringsanmodninger.
Advarsler fra Security Alliance
Ifølge Security Alliance har denne sårbarhed affødt alvorlige advarsler i kryptovalutaindustrien, da trusselsaktører aktivt udnytter fejlen til at tømme tegnebøger og implementere malware. Security Alliance har meddelt, at kryptotømmere udnytter CVE-2025-55182 og opfordrer alle websteder til straks at gennemgå deres front-end kode for mistænkelige aktiver.
Omfanget af Sårbarheden
Sårbarheden påvirker ikke kun Web3-protokoller, men alle websteder, der bruger React, med angribere, der målretter tilladelsessignaturer på tværs af platforme. Brugere står over for risiko, når de underskriver transaktioner, da ondsindet kode kan opsnappe tegnebogskommunikation og omdirigere midler til angriberens kontrollerede adresser, ifølge sikkerhedsforskere.
Reaktion fra React Teamet
Reacts officielle team offentliggjorde CVE-2025-55182 den 3. december og vurderede den til CVSS 10.0 efter Lachlan Davidsons rapport den 29. november gennem Meta Bug Bounty. Den uautoriserede fjernkodeudførelsessårbarhed udnytter, hvordan React dekoder payloads sendt til Server Function-endepunkter, hvilket giver angribere mulighed for at udforme ondsindede HTTP-anmodninger, der udfører vilkårlig kode på servere.
Opdateringer og Sikkerhedsforanstaltninger
Fejlen påvirker React-versioner 19.0, 19.1.0, 19.1.1 og 19.2.0 på tværs af react-server-dom-webpack, react-server-dom-parcel og react-server-dom-turbopack pakker. Store rammer, herunder Next.js, React Router, Waku og Expo, kræver øjeblikkelige opdateringer. Opdateringer blev udgivet i versioner 19.0.1, 19.1.2 og 19.2.1.
Angreb og Malware
Google Threat Intelligence Group dokumenterede omfattende angreb, der begyndte den 3. december, og sporede kriminelle grupper fra opportunistiske hackere til statsstøttede operationer. Kinesiske hackinggrupper installerede forskellige typer malware på kompromitterede systemer, primært målrettet mod cloud-servere på Amazon Web Services og Alibaba Cloud.
“Disse angribere anvendte teknikker til at opretholde langvarig adgang til offer-systemer.”
Nogle grupper installerede software, der skabte fjernadgangstunneler, mens andre implementerede programmer, der kontinuerligt downloader yderligere ondsindede værktøjer, der er forklædt som legitime filer. Malware skjuler sig i systemmapper og genstarter automatisk for at undgå opdagelse.
Finansielt Motiverede Angreb
Finansielt motiverede kriminelle sluttede sig til angrebsv bølgen, der begyndte den 5. december, og installerede kryptovaluta-mining-software, der bruger ofrenes computerkraft til at generere Monero. Disse minere kører konstant i baggrunden, hvilket øger elomkostningerne, mens de genererer overskud for angriberne.
Historisk Perspektiv
React-sårbarheden følger et angreb den 8. september, hvor hackere kompromitterede Josh Goldbergs npm-konto og offentliggjorde ondsindede opdateringer til 18 bredt anvendte pakker. Ledger CTO Charles Guillemet beskrev denne hændelse som et “storskalet forsyningskædeangreb” og rådede brugere uden hardware-tegnebøger til at undgå on-chain-transaktioner.
Konklusion og Anbefalinger
Organisationer, der bruger React eller Next.js, rådes til straks at opdatere til versioner 19.0.1, 19.1.2 eller 19.2.1, implementere WAF-regler, revidere alle afhængigheder, overvåge netværkstrafik for wget eller cURL-kommandoer initieret af webserverprocesser og lede efter uautoriserede skjulte mapper eller ondsindede shell-konfigurationsinjektioner.
