Hogyan csaptak le az első támadók?
Az első támadók szinte azonnal beépítették ezt a sebezhetőséget rutin szkennelési folyamataikba. A kibervédelmet figyelő csapatok azt látták, hogy konkrétan a React-alkalmazásokat és azok metaadatait – például ikonazonosítókat, SSL-tanúsítványokat és földrajzi helyazonosítókat – használták célpontlisták szűkítésére. Ezekhez ingyenes vagy kereskedelmi szkennelő és felderítő szoftvereket vettek igénybe. Vagyis az elkövetők professzionális módszerekkel választották ki a legsebezhetőbb rendszereket, mielőtt ténylegesen kihasználták volna a hibát.
Nemcsak a React2Shell jelentett problémát: időközben két, kapcsolódó RSC-sebezhetőséget (CVE-2025-55183 és CVE-2025-55184) is felfedeztek, amelyek szintén a szerveroldali payload-kezeléshez és függvénymeghívásokhoz kötődnek.
A React2Shell sebezhetőség belülről
A React2Shell-nek becézett CVE-2025-55182-es hiba egy RSC-szerver által vezérelt, nem biztonságos deszerializációs hibára vezethető vissza. Alapvetően elég egyetlen, manipulált HTTP-kérés ahhoz, hogy a támadó hitelesítés és további interakció vagy magasabb jogosultság igénye nélkül futtathasson önkényes, privilégizált JavaScript-kódot az áldozat szerverén. A kritikus súlyossági (CVSS 10.0) pontszám is mutatja, mekkora veszélynek vannak kitéve azok a szervezetek, amelyek nem lépnek időben.
Ezáltal arra lehet következtetni, hogy a nulladik napi támadások mértéke rekordidő alatt nőtt meg, és a sérülékenységhez kapcsolódó biztonsági rések veszélye rendkívül magas.
Cloudflare védelmi taktikák
A Cloudflare azonnal új blokkoló szabályokat vezetett be (mind ingyenes, mind fizetős felhasználóknak), hogy a hálózatukon áthaladó illetéktelen React2Shell-kísérleteket megakadályozzák. A védelmi szabályok ellenőrzik a támadásokra jellemző forgalmat, szkennelő User-Agenteket (mint például a Nuclei vagy a React2ShellScanner/1.0.0), valamint igyekeznek észlelni a támadást megkerülni próbáló mintákat is.
Megfigyelt támadási módszerek
A támadók különböző, széles körben hozzáférhető eszközöket vetettek be:
- Nyilvános sérülékenység-adatbázisokat, ahol a CVE-kről és exploitokról összesítik az információkat
- Szkennelőplatformokat, amelyekkel tömegesen derítik fel, hol fut React vagy Next.js keretrendszer – ezek közé tartoztak asset discovery szolgáltatások és fingerprinting eszközök
- Kifejezetten a React2Shellhez igazított scriptek, illetve Burp Suite típusú tesztplatformok is szerepeltek a repertoárban
A szkennelési hullámok főként a Reacthez köthető metaadatokra (pl. ikonlenyomatokra [icon hash], oldalnévre, tanúsítványinformációkra) fókuszáltak. Érdekes, hogy a támadók például kizárták a kínai IP-tartományokat, és kiemelten céloztak például tajvani, ujgur, vietnami, japán és új-zélandi hálózatokat. Vagyis a geopolitikai célpontok kiemelt szerepet kaptak, legyen szó akár kormányzati, kutatóintézeti vagy kritikus infrastruktúrákat működtető szervezetekről – például urán-, ritkafém- vagy nukleárisüzemanyag-importőri hatóságokról.
Kiemelt célpontok
A támadók a speciális React-alkalmazásokon túl nagy hangsúlyt fektettek jelszókezelő és biztonsági szolgáltatásokra. Ezek megszerzése ugyanis láncszerű hozzáférési lehetőséget biztosíthat további érzékeny szervezeti vagy vállalati titkokhoz. Érdemes kiemelni, hogy különösen azokat az SSL-VPN eszközöket keresték, amelyek adminfelülete is React-alapú, hogy minél többféle rendszert elérjenek.
Az első támadók háttere
A korai támadási próbálkozások nagy része számos, Ázsiához köthető hackercsoport infrastruktúrájáról érkezett. Az azonosítás alapján nem egyetlen, hanem egymással kapcsolatban álló, közös célokat követő csoportok osztoztak eszközökön, módszereken. Ezáltal arra lehet következtetni, hogy a támadók összefogva, szervezettséggel és szakértelemmel törtek utat maguknak.
Támadási hullámok számokban
A React2Shell nyilvánosságra kerülése utáni első nyolc napban 582,1 millió támadási próbálkozást mértek, óránként átlagosan 3,49 millió támadással, és csúcskor egyetlen óra alatt 12,72 millió próbálkozást detektáltak. Az egy órában mérhető egyedi IP-címek száma átlagban 3598, de egyes órákban a 16 500-at is elérte.
A támadások során nagyon sokféle eszközt, szkriptet és automatizált szoftvert használtak (több ezerféle User-Agent/profil). A próbálkozások túlnyomó része kisméretű payloadokkal történt (átlagosan 3,2 KB), de akadtak extrém kilengések is – a legnagyobb próbálkozás 375 MB-os csomagot küldött.
Két újabb veszély: adatszivárgási és DoS-hibák
A React2Shell mellett két újabb rossz hír érkezett:
- CVE-2025-55184 – Ezzel a hibával egy ciklikus Promise-referencián keresztül végtelen rekurzió vagy lefagyás váltható ki, ami teljes szerverleállást okozhat.
- CVE-2025-55183 – Bizonyos esetekben a szerverfüggvény-azonosító manipulálásával a támadó megszerezheti a szerveren található kódot, mert a paraméter helytelen típusellenőrzése után a szerver a belső függvény forráskódját adja vissza.
Mit lép most a Cloudflare?
A Cloudflare többszintű védelmi mechanizmussal reagált. Az alapvető platformvédelem mellett azonnali WAF-szabályokat telepítettek minden ügyfél számára. Ha valaki Cloudflare Workersre telepíti a React-alkalmazását, az eleve védett, mivel ott platformszinten letiltják a kihasználási lehetőséget.
Folyamatosan bővítik a szabályokat és követik a támadóeszközök fejlődését: de bármennyire is proaktív a hálózati védelem, a sebezhető React- és Next.js-rendszerek sürgős frissítése, javítása nélkülözhetetlen. A platformszintű védelem és a gyors szoftverfoltozás együtt jelentheti az egyetlen hatékony választ az ilyen rendkívül súlyos fenyegetésekkel szemben.
