La vulnerabilità React2Shell, identificata come CVE-2025-55182 e classificata con un punteggio CVSS di 10.0, è diventata rapidamente uno dei principali punti di attenzione nel mondo della sicurezza informatica. Questa falla, presente nei React Server Components, consente l’esecuzione di codice remoto senza autenticazione, mettendo a rischio numerosi sistemi basati su questa tecnologia. Non appena la vulnerabilità è stata resa pubblica, due noti gruppi di hacker legati alla Cina, Earth Lamia e Jackpot Panda, hanno iniziato a sfruttarla attivamente.
Attività dei gruppi hacker
Secondo un recente rapporto di Amazon Web Services, questi attori sono stati osservati mentre cercavano di compromettere infrastrutture utilizzando exploit per React2Shell. Earth Lamia è già noto per aver preso di mira organizzazioni di vari settori, come servizi finanziari, logistica, retail, IT, università e enti governativi in America Latina, Medio Oriente e Asia sudorientale, sfruttando in passato anche una falla critica di SAP NetWeaver.
Jackpot Panda, invece, si concentra soprattutto su realtà legate al gioco d’azzardo online in Asia. Attivo dal 2020, è stato coinvolto nella compromissione della supply chain di applicazioni di chat come Comm100 e nell’Operazione ChattyGoblin. Le sue attività recenti suggeriscono anche un interesse verso la sorveglianza domestica di utenti cinesi, sfruttando installer trojanizzati di app come CloudChat per penetrare comunità di gambling.
Altre vulnerabilità e strategie di attacco
AWS ha rilevato che questi gruppi non sfruttano solo React2Shell, ma anche altre vulnerabilità note (N-day), come una falla nei dispositivi NUUO Camera (CVE-2025-1338). I tentativi di attacco includono l’esecuzione di comandi di ricognizione, la scrittura di file e la lettura di file sensibili nei sistemi bersaglio. Questo comportamento evidenzia una strategia sistematica: i cybercriminali monitorano le nuove disclosure di vulnerabilità, integrano rapidamente gli exploit nei loro strumenti di scansione e lanciano campagne su vasta scala per massimizzare le possibilità di colpire sistemi non aggiornati.
Risposta del settore
Nel frattempo, la risposta del settore alla vulnerabilità non si è fatta attendere. React ha rilasciato le patch nelle versioni 19.0.1, 19.1.2 e 19.2.1, mentre provider come Cloudflare hanno implementato modifiche urgenti ai propri firewall, causando però temporanei disservizi su larga scala. Questo episodio sottolinea quanto sia cruciale applicare tempestivamente gli aggiornamenti di sicurezza e monitorare costantemente eventuali attività sospette, soprattutto quando emergono vulnerabilità di gravità critica ampiamente sfruttate da attori evoluti.
