React2Shell (CVE-2025-55182): Chinesische Hackergruppen greifen kritische React-Schwachstelle an

Sofortige Angriffe auf React Server Components + Nur wenige Stunden nach der Veröffentlichung der Schwachstelle CVE-2025-55182 am 3. Dezember 2025 registrierten Sicherheitsforscher von Amazon erste Angriffsversuche. Die unter dem Namen React2Shell bekannt gewordene Lücke erhielt die Höchstbewertung von 10.0 im CVSS-System und ermöglicht die Ausführung von Code ohne Authentifizierung.

Betroffen sind React 19.x sowie Next.js 15.x und 16.x mit App Router. Auch Anwendungen ohne explizite Serverfunktionen sind angreifbar.

Staatlich geförderte Angreifer bereits aktiv

Amazon beobachtete über seine MadPot-Honeypots koordinierte Exploit-Versuche durch Gruppierungen mit mutmaßlichen Verbindungen zum chinesischen Staat, darunter Earth Lamia und Jackpot Panda.

Earth Lamia zielt auf Finanzinstitute, Logistikunternehmen und Behörden in Lateinamerika, dem Nahen Osten und Südostasien. Jackpot Panda fokussiert sich auf Ost- und Südostasien, vermutlich im Kontext von Wirtschaftsspionage.

Gemeinsame Anonymisierungsnetze erschweren Attribution

Eine eindeutige Zuordnung gestaltet sich schwierig, da chinesische APT-Gruppen zunehmend gemeinsame Anonymisierungsnetzwerke nutzen. Die Mehrheit der beobachteten autonomen Systemnummern weist auf chinesische Herkunft hin.

Technische Details zur Schwachstelle

Sicherheitsforscher Lachlan Davidson entdeckte die Lücke am 29. November 2025. Es handelt sich um unsichere Deserialisierung in React Server Components. Vercel informierte vorab Meta und Cloud-Provider, sodass Patches koordiniert bereitgestellt werden konnten.

AWS implementierte Schutzmaßnahmen über Sonaris Active Defense und AWS WAF Managed Rules ab Version 1.24, betont jedoch, dass diese keinen Ersatz für Updates darstellen.

Angreifer setzen auf Masse statt Präzision

Viele Angreifer nutzen öffentliche Proof-of-Concepts, die in der Praxis nicht funktionieren. GitHub-Experten identifizierten fehlerhafte PoCs mit fundamental falschen Annahmen. Trotz technischer Mängel werden diese Exploits massenhaft eingesetzt – die Angreifer hoffen durch volumenbasiertes Scanning, den kleinen Anteil verwundbarer Konfigurationen zu finden.

Methodisches Vorgehen dokumentiert

Die MadPot-Analyse dokumentiert die Persistenz der Angreifer. Ein Bedrohungscluster mit der IP-Adresse 183.6.80.214 testete am 4. Dezember zwischen 2:30 und 3:22 Uhr UTC systematisch verschiedene Exploit-Varianten:

• 116 Anfragen innerhalb von 52 Minuten
• Mehrere unterschiedliche Exploit-Payloads
• Ausführungsversuche von Linux-Befehlen (whoami, id)
• Dateischreibversuche nach /tmp/pwned.txt
• Leseversuche der Datei /etc/passwd

Dieses Verhalten belegt, dass Angreifer nicht nur automatisierte Scans durchführen, sondern ihre Exploit-Techniken aktiv gegen Live-Ziele debuggen und optimieren.

Parallele Ausnutzung weiterer Schwachstellen

Die beobachteten Gruppen greifen gleichzeitig andere aktuelle Schwachstellen wie CVE-2025-1338 an. Dies zeigt systematisches Vorgehen: Bedrohungsakteure integrieren neu veröffentlichte Exploits rasch in ihre Infrastruktur und führen breit angelegte Kampagnen über mehrere CVEs hinweg durch.

Sofortmaßnahmen für Administratoren

Betreiber von React- und Next.js-Anwendungen sollten unverzüglich handeln. AWS veröffentlichte ein Security Bulletin mit Details zu betroffenen und gepatchten Versionen. Als temporärer Schutz steht eine benutzerdefinierte AWS WAF-Regel zur Verfügung.

Administratoren sollten Logs auf verdächtige POST-Anfragen mit Headern „next-action“ oder „rsc-action-id“ überprüfen. Auch Anfragetexte mit $@-Mustern sind verdächtig. Auf Host-Ebene deuten unerwartete Ausführungen von Erkundungsbefehlen, Leseversuche von /etc/passwd oder verdächtige Dateischreibvorgänge im /tmp/-Verzeichnis auf eine Kompromittierung hin.

Betroffene AWS-Kunden

Nutzer verwalteter AWS-Services sind nicht betroffen. Kunden, die React oder Next.js in eigenen Umgebungen wie Amazon EC2 oder in Containern betreiben, müssen ihre Anwendungen jedoch dringend aktualisieren. Bei Verdacht auf eine Kompromittierung empfiehlt AWS die Eröffnung eines Support-Falls.

Bekannte Angreifer-Infrastruktur

Amazon identifizierte mehrere IP-Adressen, die mit den Angriffen in Verbindung stehen. Die IP 206.237.3.150 wird Earth Lamia zugeordnet, 45.77.33.136 steht im Zusammenhang mit Jackpot Panda. Die Adresse 143.198.92.82 ist Teil eines Anonymisierungsnetzwerks, während 183.6.80.214 einem nicht zugeordneten Bedrohungscluster angehört. Alle Aktivitäten wurden am 4. Dezember 2025 registriert.

Ursprünglich veröffentlicht von AWS Security Blog

Vielleicht gefällt Ihnen auch:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk