React2Shell uren na ontdekking al uitgebuit

In dit artikel:

Amazon waarschuwt dat actief misbruik plaatsvindt van React2Shell (CVE-2025-55182), een kritieke kwetsbaarheid die op 3 december 2025 openbaar werd. De fout, met CVSS-score 10.0, maakt het voor aanvallers mogelijk om zonder authenticatie op afstand code uit te voeren op servers die React 19.x of Next.js 15.x/16.x met App Router draaien. Meta ontdekte het probleem eind november en werkte samen met cloudleveranciers aan een patch, maar binnen enkele uren na publicatie begonnen aanvallers met exploitatie.

AWS-securityonderzoeken tonen dat aan China gelinkte groepen, waaronder Earth Lamia en Jackpot Panda, snel proof-of-concept-exploits toepasten. Met behulp van de MadPot-honeypot infrastructuur identificeerde Amazon zowel bekende als nieuwe dreigingsclusters; Earth Lamia richt zich vooral op Latijns-Amerika, Midden-Oosten en Zuidoost-Azië, Jackpot Panda op Oost- en Zuidoost-Azië. Attributie blijft lastig omdat meerdere actoren grote anonimiseringsnetwerken delen. Een opvallend signaal: een IP-adres voerde in 52 minuten 116 verzoeken uit en probeerde Linux-commando’s, wat laat zien dat aanvallers hun exploitatieprocedures actief verfijnen.

AWS heeft meerdere verdedigingslagen uitgerold (Sonaris Active Defense, AWS WAF managed rules en perimetercontrols). Organisaties die React/Next.js zelf hosten op EC2 of containers moeten onmiddellijk naar gepatchte versies updaten; managed AWS-services zijn niet getroffen. Amazon benadrukt dat applicatielaag-kwetsbaarheden moeilijk volledig te detecteren zijn via alleen netwerktelemetrie — daarom zijn snelle patching, WAF-rules, strikte monitoring en een defense-in-depth-aanpak cruciaal.