React-Server-Komponenten: Neue Sicherheitslücken trotz React2Shell-Patch

Das Threat-Intelligence-Team von Google dokumentiert koordinierte Kampagnen, bei denen sowohl mutmaßliche Spionageakteure als auch finanziell motivierte Kriminelle die als „React2Shell“ bekannte Schwachstelle für ihre Zwecke missbrauchen.

Kritische Sicherheitslücke ermöglicht Code-Ausführung ohne Authentifizierung

Am 3. Dezember 2025 wurde die Schwachstelle CVE-2025-55182 öffentlich bekannt. Sie betrifft React Server Components und erhielt aufgrund ihrer Schwere die höchste CVSS-Bewertung von 10,0 in Version 3.x sowie 9,3 in Version 4. Angreifer können über eine einzelne HTTP-Anfrage beliebigen Code mit den Rechten des Webserver-Prozesses ausführen, ohne sich zuvor authentifizieren zu müssen.

Die Schwachstelle betrifft die React-Versionen 19.0, 19.1.0, 19.1.1 und 19.2.0 in den Paketen react-server-dom-webpack, react-server-dom-parcel und react-server-dom-turbopack. Besonders problematisch: Die weite Verbreitung von React Server Components in Frameworks wie Next.js führt zu einer großen Anzahl verwundbarer Systeme. Erschwerend kommt hinzu, dass bereits die bloße Präsenz anfälliger Pakete für erfolgreiche Angriffe ausreicht.

Verwirrung durch fehlerhafte Exploit-Codes verzögerte Abwehr

In den ersten Tagen nach Bekanntwerden der Lücke kursierten zahlreiche nicht funktionsfähige Exploits, die zunächst für Irritation sorgten. Ein Beispiel ist ein Repository des GitHub-Nutzers „ejpir“, das ursprünglich als funktionsfähiger Exploit präsentiert wurde, sich aber als KI-generiert und unbrauchbar herausstellte. Mittlerweile wurde die Dokumentation aktualisiert und das Repository enthält neben dem ursprünglichen Code auch legitimen Exploit-Code mit Unicode-Verschleierung.

Inzwischen existieren jedoch zahlreiche funktionsfähige Exploits mit erweiterten Fähigkeiten, darunter Werkzeuge zur In-Memory-Bereitstellung von Next.js-Webshells. Sicherheitsforscher sollten Exploit-Code stets validieren, da einige Beispiele gezielt Malware enthalten, die auf Forscher abzielt. Renommierte Sicherheitsfirmen wie Wiz haben technische Analysen veröffentlicht, die als vertrauenswürdige Informationsquellen dienen können.

Chinesische Spionagegruppen setzen diverse Backdoors ein

Die Google Threat Intelligence Group (GTIG) hat bis zum 12. Dezember mehrere Angriffskampagnen mit mutmaßlichem China-Bezug identifiziert. Diese zielen weltweit auf Unternehmensnetzwerke ab. Auch Amazon Web Services berichtet von Aktivitäten der Gruppen Earth Lamia (von GTIG als UNC5454 geführt) und Jackpot Panda.

Die Spionagegruppe UNC6600 nutzt die Lücke zur Verbreitung des MINOCAT-Tunnelers. Ein Bash-Skript erstellt dabei ein verstecktes Verzeichnis unter $HOME/.systemd-utils, beendet alle Prozesse namens „ntpclient“ und lädt eine MINOCAT-Binärdatei herunter. Die Malware sichert sich Persistenz durch Cron-Jobs, Systemd-Dienste und Modifikationen der Shell-Konfiguration. MINOCAT ist eine 64-Bit-Linux-Anwendung, die einen angepassten NSS-Wrapper und den Open-Source-Reverse-Proxy FRP für Tunneling-Funktionen nutzt.

Der Akteur UNC6586 setzt den SNOWLIGHT-Downloader ein, eine Komponente der plattformübergreifenden Go-basierten Backdoor VSHELL. SNOWLIGHT kontaktiert Command-and-Control-Server wie reactcdn.windowserrorapis[.]com per HTTP-GET, um weitere Schadprogramme herunterzuladen, die als legitime Dateien getarnt sind.

Weitere Malware-Familien im Einsatz

Die Gruppe UNC6588 nutzt ein Skript, das per wget die COMPOOD-Backdoor herunterlädt und als Vim-Editor tarnt. GTIG konnte keine signifikanten Folgeaktivitäten beobachten, die Motivation bleibt unklar. COMPOOD wurde bereits 2022 bei mutmaßlichen Spionageoperationen mit China-Bezug gesichtet, insbesondere bei Vorfällen mit Bezug zu Taiwan, Vietnam und China.

UNC6603 setzt eine aktualisierte Version der HISONIC-Backdoor ein. Diese Go-basierte Malware nutzt legitime Cloud-Dienste wie Cloudflare Pages und GitLab, um ihre verschlüsselte Konfiguration abzurufen und bösartigen Datenverkehr mit normalem Netzwerkverkehr zu vermischen. Die XOR-verschlüsselte Konfiguration ist zwischen den Markern „115e1fc47977812″ und „725166234cf88gxx“ eingebettet. Telemetriedaten zeigen, dass hauptsächlich Cloud-Instanzen von AWS und Alibaba im asiatisch-pazifischen Raum angegriffen werden.

Die Gruppe UNC6595 verbreitet ANGRYREBEL.LINUX über ein Installationsskript namens b.sh. Die Malware tarnt sich als OpenSSH-Daemon im /etc/-Verzeichnis statt am üblichen Speicherort. Zusätzlich kommt Timestomping zum Einsatz, um Dateizeitstempel zu manipulieren, und Anti-Forensik-Befehle wie das Löschen der Shell-Historie. Primäre Ziele sind internationale Virtual Private Server.

Cryptomining-Akteure unter den ersten Angreifern

Ab dem 5. Dezember beobachtete GTIG mehrfach den Einsatz von XMRig für illegales Kryptowährungs-Mining. In einem Fall lud ein Angreifer das Shell-Skript „sex.sh“ herunter, das den Mining-Client von GitHub bezieht und startet. Das Skript etabliert Persistenz über einen Systemd-Dienst mit dem Namen „system-update-service“.

In Untergrundforen diskutieren Angreifer aktiv über CVE-2025-55182 und tauschen Links zu Scan-Werkzeugen, Proof-of-Concept-Code und Erfahrungsberichte aus.

Weitere React-Schwachstellen nach intensiver Prüfung entdeckt

Nach Bekanntwerden kritischer Sicherheitslücken werden betroffene Produkte üblicherweise verstärkt untersucht, was zu einem temporären Anstieg neu entdeckter Schwachstellen führt. Seit CVE-2025-55182 wurden drei weitere React-Lücken publiziert: CVE-2025-55183, CVE-2025-55184 und CVE-2025-67779.

Zwei dieser Folgeschwachstellen haben begrenzte Auswirkungen: eingeschränkte Informationspreisgabe und Denial-of-Service. CVE-2025-67779 ermöglicht ebenfalls DoS-Angriffe und entstand durch einen unvollständigen Patch für CVE-2025-55184. Zudem wurde CVE-2025-66478 für Next.js veröffentlicht, später jedoch als Duplikat von CVE-2025-55182 markiert.

Sofortiges Patchen dringend empfohlen

Organisationen, die React oder Next.js einsetzen, sollten umgehend handeln. Zur Behebung von CVE-2025-55182 sind Upgrades auf mindestens Version 19.0.1, 19.1.2 oder 19.2.1 erforderlich. Updates auf 19.2.2 oder 19.2.3 schließen die Lücke ebenfalls.

Für CVE-2025-55183 ist mindestens Version 19.2.2 notwendig. Die DoS-Schwachstellen CVE-2025-55184 und CVE-2025-67779 erfordern Version 19.2.3, da sich der Patch 19.2.2 als unzureichend erwies.

Google hat eine Cloud Armor WAF-Regel bereitgestellt, die Ausnutzungsversuche erkennt und blockiert. Diese sollte als temporäre Schutzmaßnahme während des Patch-Prozesses eingesetzt werden. Administratoren sollten außerdem prüfen, ob vulnerable React Server Components als Abhängigkeiten in anderen Anwendungen vorhanden sind.

Die Netzwerküberwachung sollte auf ausgehende Verbindungen zu bekannten Kompromittierungsindikatoren achten, insbesondere wget- oder cURL-Befehle von Webserver-Prozessen. Anzeichen für eine Kompromittierung sind versteckte Verzeichnisse wie $HOME/.systemd-utils, ungewöhnliche Prozessbeendigungen und Modifikationen von Shell-Konfigurationsdateien wie $HOME/.bashrc.