Vulnerabilidade Crítica CVE-2025-55182 sob Ataque Ativo

A comunidade de cibersegurança global testemunhou nas últimas 72 horas um dos cenários mais alarmantes do ano: a exploração massiva e coordenada de uma vulnerabilidade crítica com pontuação máxima CVSS 10.0 que afeta o React Server Components. Neste artigo do blog Dolutech, vamos analisar em profundidade o CVE-2025-55182, apelidado de REACT2SHELL pelos investigadores, e como grupos de ameaça vinculados à China começaram a explorá-lo apenas horas após a divulgação pública.

O que é o REACT2SHELL (CVE-2025-55182)?

O REACT2SHELL representa uma falha de execução remota de código (RCE) sem autenticação que afeta os React Server Components, especificamente no protocolo Flight utilizado para comunicação entre cliente e servidor. Descoberta pelo investigador de segurança Lachlan Davidson e reportada à equipa da Meta em 29 de novembro de 2025, a vulnerabilidade foi tornada pública em 3 de dezembro de 2025, acompanhada de patches de correção.

A Dolutech destaca que esta vulnerabilidade recebeu a classificação CVSS máxima de 10.0 devido à sua combinação letal de características: não requer autenticação, pode ser explorada remotamente, tem baixa complexidade de ataque e não exige interação do utilizador. Essencialmente, um atacante precisa apenas de enviar um pedido HTTP especialmente elaborado para comprometer completamente um servidor vulnerável.

Versões Afetadas e Impacto

As versões do React vulneráveis incluem:

• React 19.0, 19.1.0, 19.1.1 e 19.2.0
• Pacotes afetados: react-server-dom-webpack, react-server-dom-parcel e react-server-dom-turbopack

Para o framework Next.js, que incorpora componentes do React, as versões vulneráveis são:

• Next.js 15.x e 16.x quando utilizam o App Router

Neste contexto, é crucial compreender que a vulnerabilidade afeta aplicações mesmo que não utilizem explicitamente React Server Functions, desde que suportem React Server Components. Esta nuance técnica amplia significativamente a superfície de ataque.

A Exploração Relâmpago por Grupos Chineses

Earth Lamia e Jackpot Panda: Os Atores da Ameaça

A equipa de inteligência de ameaças da Amazon Web Services (AWS) reportou através da sua infraestrutura de honeypot MadPot que, dentro de horas após a divulgação pública do CVE-2025-55182, múltiplos grupos de ameaça vinculados ao estado chinês iniciaram tentativas ativas de exploração. Os grupos identificados incluem:

Earth Lamia: Um ator de ameaça chinês conhecido por explorar vulnerabilidades em aplicações web, visando organizações nos setores financeiro, logística, retalho, empresas de TI, universidades e entidades governamentais na América Latina, Médio Oriente e Sudeste Asiático.

Jackpot Panda: Grupo chinês que se concentra primariamente em entidades no Leste e Sudeste Asiático, com atividades alinhadas a prioridades de recolha de informação relacionadas com segurança doméstica e preocupações de corrupção. O grupo foi previamente associado ao comprometimento da cadeia de fornecimento da aplicação de chat Comm100 em setembro de 2022.

Comportamento de Ataque Observado

Nós analisámos os dados da AWS que revelam comportamentos particularmente preocupantes. Um cluster de ameaça não atribuído, associado ao endereço IP 183.6.80.214, passou quase uma hora (das 2:30:17 às 3:22:48 UTC em 4 de dezembro de 2025) a depurar sistematicamente tentativas de exploração, enviando 116 pedidos e testando comandos Linux para refinamento das técnicas de exploração.

Este comportamento demonstra que os atores de ameaça não estão apenas a executar varrimentos automatizados, mas a depurar e refinar ativamente as suas técnicas de exploração contra alvos reais. A abordagem sistemática inclui:

• Monitorização de novas divulgações de vulnerabilidades
• Integração rápida de exploits públicos na infraestrutura de varrimento
• Campanhas amplas através de múltiplos CVEs simultaneamente (incluindo CVE-2025-1338 da NUUO Camera)
• Utilização de ferramentas automatizadas com capacidades de randomização de user-agent para deteção evasiva

Detalhes Técnicos da Vulnerabilidade

Mecanismo de Exploração

O REACT2SHELL é classificado como uma vulnerabilidade de desserialização insegura (CWE-502) no protocolo Flight dos React Server Components. O protocolo Flight é utilizado para transferir payloads serializados entre cliente e servidor nas aplicações React modernas.

A falha reside na forma como o React descodifica e processa payloads enviados aos endpoints de React Server Functions. Quando o servidor recebe um payload HTTP especialmente elaborado (tipicamente através de dados enviados numa requisição POST), falha na validação correta da estrutura dos dados. Esta desserialização insegura permite que dados controlados pelo atacante influenciem a lógica de execução do servidor.

Exemplo de Vetor de Ataque

Um atacante pode explorar a vulnerabilidade através do envio de um payload malicioso em parâmetros HTTP como $ACTION_REF_0 e $ACTION_0:0. O payload contém código JavaScript arbitrário que, quando desserializado pelo servidor, é executado no contexto do processo Node.js com privilégios completos.

As tentativas de exploração observadas incluem comandos para:

• Descoberta do sistema (whoami)
• Escrita de ficheiros (/tmp/pwned.txt)
• Leitura de informações sensíveis (/etc/passwd)
• Estabelecimento de shells reversos
• Exfiltração de credenciais AWS

Proof-of-Concept e Código Público

A cronologia da disponibilização de PoCs é particularmente relevante para compreender a evolução da ameaça:

3 de dezembro (Dia 0): Divulgação pública pela equipa React e Vercel com patches disponíveis

4 de dezembro (~30 horas após): Primeiro PoC público funcional publicado no GitHub pelo investigador Moritz Sanft (@maple3142), confirmando exploração em aplicações Next.js 16.0.6 padrão

5 de dezembro: Lachlan Davidson, o descobridor original, publica os seus próprios PoCs oficiais. A CISA adiciona CVE-2025-55182 ao catálogo KEV (Known Exploited Vulnerabilities), confirmando exploração ativa

6 de dezembro: Módulo Metasploit disponível, reduzindo drasticamente a barreira de entrada para exploração

A Dolutech salienta que a facilidade de exploração é demonstrada pelo facto de que até aplicações vazias criadas com o template padrão create-next-app são vulneráveis, conforme verificado por múltiplos investigadores.

Escala Global do Problema

Os números são impressionantes e preocupantes:

• 77.664 endereços IP identificados como vulneráveis ao REACT2SHELL pela Shadowserver
• 23.700 destes localizados apenas nos Estados Unidos
• 39% dos ambientes cloud monitorizados pela Wiz contêm instâncias vulneráveis
• Mais de 30 organizações já foram comprometidas, segundo a Palo Alto Networks
• 82% dos programadores JavaScript utilizam React, segundo o State of JavaScript 2024

Neste artigo, enfatizamos que o impacto não se limita a grandes corporações. Qualquer organização que utilize React 19.x ou Next.js 15.x/16.x com App Router está potencialmente exposta, desde startups tecnológicas até infraestruturas críticas governamentais.

Estratégias de Mitigação e Defesa

Ações Imediatas Recomendadas

A Dolutech recomenda a implementação urgente das seguintes medidas de mitigação:

1. Aplicação Imediata de Patches

Atualizar para as versões corrigidas:

• React: 19.0.1, 19.1.2 ou 19.2.1
• Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

2. Identificação de Ativos Vulneráveis

Executar varrimentos para identificar todas as instâncias de React e Next.js no ambiente:

# Identificar versões do React
npm list react react-dom

# Identificar versões do Next.js
npm list next

# Procurar em todo o sistema
find / -name "package.json" -exec grep -l "\"react\"" {} \;

3. Implementação de Proteções WAF

Nós observámos que múltiplos fornecedores de WAF implementaram proteções específicas:

• AWS WAF (AWSManagedRulesKnownBadInputsRuleSet versão 1.24+)
• CloudGuard WAF / open-appsec (proteção baseada em ML)
• Fastly Next-Gen WAF (Virtual Patch)

4. Monitorização e Deteção

Implementar regras de deteção para identificar tentativas de exploração:

Regra Suricata exemplo

alert http any any -> $HOME_NET any (
msg:”CVE-2025-55182 Exploit Attempt”;
content:”$ACTION_”;
content:”#constructor”;
distance:0;
sid:2025551820;
rev:1;
)

5. Análise de Logs Retrospetiva

Procurar indicadores de compromisso em logs HTTP:

• Parâmetros $ACTION_REF_0 e $ACTION_0:0 em pedidos POST
• Padrões de payload incomuns em requisições a endpoints RSC
• Múltiplos erros 500 seguidos de tentativas de execução de comandos

Proteções a Nível de Runtime

Para ambientes onde a atualização imediata não é viável, considere:

• Isolamento de aplicações React em contentores com privilégios mínimos
• Implementação de políticas de egress restritivas (prevenir shells reversos)
• Monitorização de processos filhos inesperados do Node.js
• Ativação de modo de prevenção em soluções RASP (Runtime Application Self-Protection)

Contexto Regulatório Europeu

Para organizações sob jurisdição europeia, a exploração do REACT2SHELL tem implicações diretas em várias diretivas e regulamentos:

NIS2 (Diretiva de Segurança de Redes e Sistemas de Informação): Entidades essenciais e importantes devem implementar medidas técnicas apropriadas para gerir riscos de cibersegurança. A falha em aplicar patches críticos em tempo útil pode constituir não conformidade.

DORA (Digital Operational Resilience Act): Entidades financeiras devem manter capacidades de gestão de vulnerabilidades e resposta a incidentes, incluindo aplicação expedita de patches para vulnerabilidades críticas.

GDPR: Se a exploração resultar em acesso não autorizado a dados pessoais, constitui uma violação de dados que deve ser notificada à autoridade de controlo competente dentro de 72 horas.

A Dolutech recomenda que CISOs e DPOs documentem todas as ações tomadas em resposta a esta vulnerabilidade para demonstração de conformidade regulatória.

Conclusão: Uma Corrida Contra o Tempo

O REACT2SHELL representa um exemplo paradigmático da velocidade com que o panorama de ameaças moderno opera. A janela entre divulgação e exploração massiva reduziu-se de semanas para horas, transformando cada segundo numa corrida crítica entre defensores e atacantes.

Nós continuamos a monitorizar a evolução desta ameaça e atualizaremos este artigo conforme nova informação de inteligência seja disponibilizada. A colaboração entre comunidade de segurança, fornecedores e organizações será fundamental para minimizar o impacto desta vulnerabilidade de severidade máxima.

Para organizações portuguesas e europeias, recomendamos contato com o CNCS (Centro Nacional de Cibersegurança) e CERT.PT para orientação adicional e reporte de incidentes relacionados com esta vulnerabilidade.

Para organizações Brasileiras recomendamos o contato com o CERT.br é um Time de Resposta a Incidentes de Segurança (CSIRT) de Responsabilidade Nacional de último recurso, mantido pelo NIC.br.

A aplicação imediata de patches e implementação de controlos compensatórios não é apenas uma recomendação técnica, é uma necessidade operacional crítica que pode determinar a diferença entre a segurança e o comprometimento total das infraestruturas digitais.

Lucas Catão de Moraes

Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.