Exploit React2Shell viola 766 sistemi

Una singola richiesta HTTP. È tutto ciò che ci è voluto per permettere agli hacker di insinuarsi in 766 server Next.js, prosciugando credenziali come chiavi SSH e token AWS. Cisco Talos ha appena alzato il velo su questo incubo automatizzato

theAIcatchup 5 min read
Diagramma della catena di exploit React2Shell dalla richiesta HTTP all'esfiltrazione di credenziali via Nexus Listener

Key Takeaways

  • React2Shell (CVE-2025-55182) permette RCE non autenticata in Next.js, sfruttata da UAT-10608 per furto di massa di credenziali.
  • Scansione automatizzata via Shodan/Censys ha colpito 766 sistemi in 24 ore, esfiltrando chiavi SSH, token cloud e altro tramite Nexus Listener.
  • Lo spostamento architetturale nell'SSR espone segreti backend: ruotate tutto e ripensate i confini frontend-backend.

Una singola richiesta HTTP malformata colpisce un’app Next.js pubblica. Boom: codice arbitrario si esegue sul processo Node.js lato server. Le credenziali iniziano a fluire: chiavi private SSH, token AWS, segreti GitHub. Tutto automatizzato, tutto su larga scala.

Allarga lo sguardo. Non si tratta di un attacco mirato a una Fortune 500. È UAT-10608, un attore della minaccia tracciato da Cisco Talos, che sta devastando configurazioni React vulnerabili tramite React2Shell—cioè CVE-2025-55182, una falla CVSS con punteggio perfetto di 10. Hanno compromesso almeno 766 sistemi in 24 ore, aspirando oltre 10.000 file. E senti questa: Talos ha sbirciato nel dashboard Nexus Listener degli attaccanti stessi, lasciato spalancato come una porta di garage dimenticata.

L’exploit che non dovrebbe esistere—ma esiste

React2Shell prospera perché gli sviluppatori adorano il rendering lato server (SSR) in Next.js. È veloce, ottimizzato per la SEO, attira utenti. Ma ecco il nodo: quella vulnerabilità nella configurazione React permette ad attaccanti non autenticati di iniettare codice direttamente nel runtime Node.js. Nessuna autenticazione. Niente storie. Solo un payload su misura via HTTP.

Talos lo dice senza giri di parole:

«La vastità del set di vittime e il pattern di targeting indiscriminato sono coerenti con una scansione automatizzata, probabilmente basata su dati di profilo host da servizi come Shodan, Censys o scanner custom per enumerare deployment Next.js pubblicamente raggiungibili e sondarli per le vulnerabilità di configurazione React descritte.»

Scansionano internet come aspirapolvere: Shodan e Censys alimentano la bestia. App Next.js pubbliche? Bersagli perfetti. Una sonda, un controllo vuln, e game over.

Ma perché proprio ora? La dominazione di React nel mondo frontend significa milioni di deployment. L’SSR sposta l’architettura: le reti di sicurezza client-side svaniscono quando il codice gira lato server. Gli attaccanti non devono phishing o spear: automatizzano e basta.

Una soluzione in tre parole? Applicare la patch.

La realtà è più incasinata. Script automatizzati post-breach cicla tra processi: runtime JavaScript, storici SSH, API metadata cloud, token Kubernetes, variabili Docker. Tutto. Esfiltrazione verso un C&C, poi Nexus Listener: un’app web per sfogliare il bottino. Talos ne ha trovata una esposta, che catalogava chiavi AI, credenziali pagamenti, token comms. Ruotate tutto, dicono. Ieri.

Come React2Shell scardina i vostri segreti

Immaginate la catena. Passo uno: scansione per banner Next.js (facile, gli header lo urlano). Passo due: sonda la falla nella config React. Vulnerabile? Invia il payload. Node.js lo esegue lato server: RCE raggiunto.

Poi il raccolto. Gli script iterano senza pietà.

  • Dump dei processi in esecuzione.
  • Cattura variabili env del runtime JS.
  • Afferra chiavi SSH, storici.
  • Colpisce API cloud (metadata AWS? Ciao token role istanza).
  • Account servizio Kubernetes.
  • Config container.
  • Perfino linee di comando shell.

Tutto zippato, spedito al C&C. Nexus Listener permette agli attaccanti di sfogliare come un Dropbox per refurtiva. Lo sguardo di Talos? 766 host in un giorno. Indiscriminati. Bot ovunque.

Non è una novità: riecheggia lo spray-and-pray di Log4Shell, ma con sapore frontend. Allora, l’ubiquità Java uccise tutti. Ora? L’hype SSR di React fa lo stesso. Sviluppatori inseguono performance; attaccanti inseguono le chiavi.

La mia opinione: questo rivela un cambiamento più profondo. Framework frontend che sanguinano nei backend senza hardening backend. Next.js prometteva semplicità: ci ha dato piñata di credenziali.

Perché gli sviluppatori continuano a spedire app Next.js vulnerabili

Velocità sul mercato. È il perché. Next.js ti permette di assemblare app fullstack in fretta: SSR, route API, tutto in uno. Ma le patch? In ritardo. CVE-2025-55182 esce, e 766 saltano in poche ore.

Il marketing corporate lo chiama ‘magia del rendering edge’. Chiamatelo per nome: un vettore per rovina lato server. La purezza client-side di React? Sparita quando idrati su Node. Un misconfig, e i vostri segreti env diventano nemico pubblico numero 1.

Previsione audace: aspettatevi varianti di React2Shell. Gli attaccanti lo incateneranno a cryptominer, ransomware. Abbiamo visto defacciamenti Magento, furti credenziali VPN: questo scala più grande. A meno che i maker dei framework non infarciscano isolamento runtime (pensate a boundary WebAssembly), ci aspettano ondate.

Parallelo storico? Heartbleed, 2014. L’overread buffer di OpenSSL leakava chiavi en masse. React2Shell? Overtrust config leakka lo stesso. Sviluppatori ignorarono avvisi Heartbleed; la storia fa rima.

React2Shell è il nuovo Log4Shell per gli sviluppatori web?

In un certo senso. Log4Shell richiedeva log Java ovunque. React2Shell richiede… un’app Next.js pubblica. Più comune di quanto pensiate: solo i deploy Vercel sono milioni.

Differenza? Profondità automazione. UAT-10608 non si ferma all’RCE. Sono harvester di credenziali su steroidi, costruiti per il caos cloud-native: K8s, Docker, role IAM. Una breach casca: movimenti laterali, hit supply chain.

Talos avverte di incubi compliance. Token GitHub rubati? Takeover repo. Chiavi AWS? Shock bollette, dump dati. E quelle credenziali piattaforme AI? Iniezioni prompt su scala.

Patching. Audit. Rotazione.

Ma l’architettura conta di più. Segmenta i segreti: vault, non env var. Least privilege su IAM. Scansiona deploy con tool alla Shodan fai-da-te.

Cosa succede se vieni colpito da React2Shell?

Assumi breach. Controlla log per payload HTTP strani. Caccia C&C alla Nexus (Talos ha condiviso IOC: usali). Ruota tutto: SSH, cloud, DB, token auth.

Fix più ampio? Abbandona SSR ingenuo per ibrido. Render client per path sensibili. Scanner runtime in CI/CD.

Previsione: giganti framework (Vercel, team React) impongono auto-patching. O cause legali li forzano.

🧬 Approfondimenti correlati

Domande frequenti

Cos’è React2Shell?

React2Shell (CVE-2025-55182) è una vulnerabilità critica di React nelle app Next.js che permette RCE non autenticata via richieste HTTP craftate, portando a furto di credenziali.

Come fixare la vulnerabilità React2Shell?

Aggiorna Next.js e React alle versioni patchate immediatamente. Audit app pubbliche con Shodan/Censys. Ruota tutte le credenziali esposte come chiavi SSH e token cloud.

Cosa è stato rubato negli attacchi React2Shell?

Chiavi private SSH, token AWS/GCP, segreti GitHub, account servizio Kubernetes, credenziali DB, chiavi piattaforme AI/pagamenti, storici shell: oltre 10.000 file da 766 sistemi.

James Kowalski
Written by
James Kowalski

Investigative tech reporter focused on AI ethics, regulation, and societal impact.

#cve-2025-55182 #nextjs-vulnerability #react2shell #credential-harvesting

Worth sharing?

Get the best AI stories of the week in your inbox — no noise, no spam.

Originally reported by SecurityWeek

Related Stories