Grupos de ciberthreat chineses exploram rapidamente vulnerabilidade React2Shell (CVE-2025-55182)

Exploração Ativa em Poucas Horas

A descoberta de uma vulnerabilidade crítica no React Server Components gerou movimento rápido entre grupos de ciberameaças estado-patrocinados. Dentro de poucas horas após a divulgação pública da CVE-2025-55182 (React2Shell) em 3 de dezembro de 2025, as equipes de inteligência de ameaças da AWS identificaram tentativas de exploração ativa conduzidas por múltiplos grupos de ameaças de origem chinesa, incluindo Earth Lamia e Jackpot Panda.

Esta vulnerabilidade crítica em componentes React apresenta uma pontuação máxima no Sistema Comum de Pontuação de Vulnerabilidade (Commond Vulnerability Scoring System – CVSS) de 10.0, afetando React versões 19.x e Next.js versões 15.x e 16.x quando utilizam App Router. Embora esta vulnerabilidade não afete os serviços gerenciados da AWS, a empresa compartilhou esta inteligência de ameaças para auxiliar clientes que executam aplicações React ou Next.js em seus próprios ambientes a tomar ação imediata.

O Contexto das Ameaças Chinesas

A China permanece como a fonte mais prolífica de atividade de ciberameaça patrocinada por Estado. Os atores de ameaça rotineiramente operacionalizam exploits públicos dentro de horas ou dias após a divulgação, demonstrando uma capacidade organizacional impressionante.

Através do monitoramento realizado na infraestrutura de honeypot MadPot da AWS, as equipes de inteligência de ameaças identificaram tanto grupos conhecidos quanto clusters de ameaças previamente não rastreados tentando explorar a CVE-2025-55182. A AWS implementou múltiplas camadas de proteção automatizada, incluindo defesa ativa Sonaris, regras gerenciadas de Firewall de Aplicação Web (Web Application Firewall – AWS WAF) e controles de segurança de perímetro. Contudo, estas proteções não são substitutos para aplicação de patches.

Clientes que utilizam serviços AWS gerenciados não são afetados e nenhuma ação é necessária. Clientes que executam React ou Next.js em seus próprios ambientes (Amazon Elastic Compute Cloud, containers, etc.) devem atualizar as aplicações vulneráveis imediatamente.

Entendendo a CVE-2025-55182 (React2Shell)

Descoberta por Lachlan Davidson e divulgada responsavelmente ao React Team em 29 de novembro de 2025, a CVE-2025-55182 é uma vulnerabilidade de desserialização insegura em React Server Components. A vulnerabilidade recebeu o nome React2Shell da comunidade de pesquisadores de segurança.

Características Técnicas Principais

• Pontuação CVSS: 10.0 (severidade máxima)
• Vetor de ataque: Execução remota de código não autenticada
• Componentes afetados: React Server Components em React 19.x e Next.js 15.x/16.x com App Router
• Detalhe crítico: Aplicações estão vulneráveis mesmo que não utilizem explicitamente funções de servidor, desde que suportem React Server Components

A vulnerabilidade foi divulgada responsavelmente pela Vercel à Meta e aos principais provedores de nuvem, incluindo a AWS, possibilitando coordenação de patches e implantação de proteções antes da divulgação pública da vulnerabilidade.

Quem está Explorando a CVE-2025-55182?

A análise de tentativas de exploração na infraestrutura de honeypot AWS MadPot identificou atividade de exploração proveniente de endereços IP e infraestrutura historicamente associados a atores de ameaça conhecidos de origem chinesa. Devido à infraestrutura de anonimização compartilhada entre grupos de ameaça chineses, atribuição definitiva é desafiadora.

Earth Lamia

Este ator de ciberameaça de origem chinesa é conhecido por explorar vulnerabilidades de aplicação web visando organizações em América Latina, Oriente Médio e Sudeste Asiático. O grupo historicamente direcionou setores que incluem serviços financeiros, logística, varejo, empresas de TI, universidades e organizações governamentais.

Jackpot Panda

Este ator de ciberameaça de origem chinesa visa principalmente entidades no Leste e Sudeste Asiático. A atividade provavelmente se alinha com prioridades de coleta relacionadas a preocupações de segurança doméstica e corrupção.

Infraestrutura de Anonimização Compartilhada

Redes de anonimização em larga escala tornaram-se uma característica definidora das operações de ciberameaça chinesas, habilitando reconhecimento, exploração e atividades de comando-e-controle enquanto obscurecem atribuição. Estas redes são utilizadas simultaneamente por múltiplos grupos de ameaça, dificultando a atribuição de atividades específicas a atores individuais. Além disso, muitos grupos de ameaça não atribuídos compartilham característica com atividade de ciberameaça de origem chinesa. A maioria dos Números de Sistema Autônomo (Autonomous System Numbers – ASNs) observados para atividade não atribuída estão associados à infraestrutura chinesa, confirmando adicionalmente que a maioria da atividade de exploração origina-se daquela região.

A velocidade com a qual estes grupos operacionalizaram exploits públicos de prova-de-conceito destaca uma realidade crítica: quando provas-de-conceito atingem a internet, atores de ameaça sofisticados são rápidos em weaponizá-las.

Ferramentas e Técnicas de Exploração

Atores de ameaça estão utilizando tanto ferramentas automatizadas de varredura quanto exploits individuais de prova-de-conceito. Algumas ferramentas automatizadas observadas possuem capacidades para inibir detecção, como aleatorização de user agent. Estes grupos não estão limitando suas atividades à CVE-2025-55182.

As equipes de inteligência de ameaças da AWS observaram estes atores simultaneamente explorando outras vulnerabilidades recentes do tipo N-day, incluindo CVE-2025-1338. Isto demonstra uma abordagem sistemática: atores de ameaça monitoram novas divulgações de vulnerabilidades, integram rapidamente exploits públicos em sua infraestrutura de varredura, e conduzem campanhas amplas através de múltiplas Vulnerabilidades e Exposições Comuns (Common Vulnerabilities and Exposures – CVEs) simultaneamente para maximizar suas chances de encontrar alvos vulneráveis.

A Realidade das Provas-de-Conceito Públicas: Quantidade Sobre Qualidade

Uma observação notável da investigação é que muitos atores de ameaça estão tentando utilizar provas-de-conceito públicas que na verdade não funcionam em cenários do mundo real. A comunidade de segurança do GitHub identificou múltiplas provas-de-conceito que demonstram compreensões fundamentais incorretas da vulnerabilidade:

• Algumas aplicações de exemplo explicitamente registram módulos perigosos (fs, child_process, vm) no manifesto do servidor, algo que aplicações reais nunca deveriam fazer
• Vários repositórios contêm código que permaneceria vulnerável mesmo após aplicação de patches para versões seguras

Apesar da inadequação técnica de muitas provas-de-conceito públicas, atores de ameaça continuam tentando utilizá-las. Isto demonstra padrões importantes:

• Velocidade sobre precisão: Atores de ameaça priorizam operacionalização rápida sobre testes minuciosos, tentando explorar alvos com qualquer ferramenta disponível
• Abordagem baseada em volume: Varrendo amplamente com múltiplas provas-de-conceito (mesmo não-funcionais), atores esperam encontrar o pequeno percentual de configurações vulneráveis
• Barreira baixa para entrada: A disponibilidade de exploits públicos, mesmo falhos, habilita atores menos sofisticados a participar em campanhas de exploração
• Geração de ruído: Tentativas de exploração falhadas criam ruído significativo em logs, potencialmente mascarando ataques mais sofisticados

Padrões de Ataque Persistentes e Metódicos

A análise de dados do MadPot revela a natureza persistente destas tentativas de exploração. Em um exemplo notável, um cluster de ameaça não atribuído associado ao endereço IP 183.6.80.214 gastou aproximadamente uma hora (das 2:30:17 até 3:22:48 AM UTC em 4 de dezembro de 2025) sistematicamente depurando tentativas de exploração:

• 116 requisições totais através de 52 minutos
• Tentou múltiplos payloads de exploração
• Tentou executar comandos Linux (whoami, id)
• Tentou escrever arquivo em /tmp/pwned.txt
• Tentou ler /etc/passwd

Este comportamento demonstra que atores de ameaça não estão apenas executando varreduras automatizadas, mas estão ativamente depurando e refinando suas técnicas de exploração contra alvos vivos.

Como a AWS Auxilia na Proteção de Clientes

A AWS implementou múltiplas camadas de proteção para auxiliar na salvaguarda de clientes:

Defesa Ativa Sonaris

O sistema de inteligência de ameaças Sonaris automaticamente detectou e restringiu tentativas de varredura maliciosa visando esta vulnerabilidade. Sonaris analisa mais de 200 bilhões de eventos por minuto e integra inteligência de ameaças da rede de honeypot MadPot para identificar e bloquear tentativas de exploração em tempo real.

Regras Gerenciadas de AWS WAF

A versão padrão (1.24 ou superior) do AWSManagedRulesKnownBadInputsRuleSet versão 1.24 agora inclui regras atualizadas para CVE-2025-55182, fornecendo proteção automática para clientes utilizando AWS WAF com conjuntos de regras gerenciadas.

Inteligência MadPot

O sistema global de honeypot forneceu detecção antecipada de tentativas de exploração, habilitando resposta rápida e análise de ameaças.

Inteligência de Ameaças Amazon

As equipes de inteligência de ameaças Amazon estão investigando ativamente tentativas de exploração da CVE-2025-55182 para proteger infraestrutura AWS. Se identificarmos sinais de que sua infraestrutura foi comprometida, notificaremos você através do Suporte AWS. Contudo, vulnerabilidades de camada de aplicação são difíceis de detectar abrangentemente somente através de telemetria de rede. Não aguarde notificação da AWS.

Importante: Estas proteções não são substitutos para aplicação de patches. Clientes que executam React ou Next.js em seus próprios ambientes (EC2, containers, etc.) devem atualizar as aplicações vulneráveis imediatamente.

Ações Recomendadas Imediatas

• Atualizar aplicações React/Next.js vulneráveis. Consulte o Boletim de Segurança AWS (https://aws.amazon.com/security/security-bulletins/AWS-2025-030/) para versões afetadas e com patches aplicados
• Implantar regra customizada de AWS WAF como proteção interim (regra fornecida no boletim de segurança)
• Revisar logs de aplicação e servidor web para atividade suspeita. Procure por requisições POST com headers next-action ou rsc-action-id
• Verificar execução de processo inesperada ou modificações de arquivo em servidores de aplicação
• Se suspeitar comprometimento: Abra um caso de Suporte AWS imediatamente para assistência com resposta a incidentes

Nota: Clientes utilizando serviços AWS gerenciados não são afetados e não requerem ação.

Indicadores de Comprometimento

Indicadores de Rede

• Requisições HTTP POST para endpoints de aplicação com headers next-action ou rsc-action-id
• Corpos de requisição contendo padrões $@
• Corpos de requisição contendo padrões “status”:”resolved_model”

Indicadores Baseados em Host

• Execução inesperada de comandos de reconhecimento (whoami, id, uname)
• Tentativas de ler /etc/passwd
• Escritas suspeitas de arquivo em diretório /tmp/ (por exemplo, pwned.txt)
• Novos processos originados por processos de aplicação Node.js/React

Infraestrutura de Ator de Ameaça

• 206.237.3.150 — 4 de dezembro de 2025 — Earth Lamia
• 45.77.33.136 — 4 de dezembro de 2025 — Jackpot Panda
• 143.198.92.82 — 4 de dezembro de 2025 — Rede de Anonimização
• 183.6.80.214 — 4 de dezembro de 2025 — Cluster de ameaça não atribuído

Recursos Adicionais

• Boletim de Segurança AWS: CVE-2025-55182 (https://aws.amazon.com/security/security-bulletins/AWS-2025-030/)
• Documentação de AWS WAF (https://docs.aws.amazon.com/waf/)
• Aviso de Segurança React Team (https://react.dev/blog/2025/12/03/react-server-components-security-advisory)

Fonte

China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182) (https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/)