Beobachtungen
Das IT-Sicherheitsunternehmen AWS Security meldet, dass eine chinesische Cybergruppierung innerhalb weniger Stunden die Sicherheitslücke CVE-2025-55182 ausgenutzt hat. Bei dieser Sicherheitslücke handelt es sich um eine React2Shell-Schwachstelle. Auswirkungen auf AWS-Dienste bestehen nach Angaben von AWS Security nicht.
Methoden
Die Angreifer nutzen automatisierte Scanner und Exploits mit dem Ziel der Identifizierung von React-Serverkomponenten in den Versionen 19.x und Next.js 15.x/16.x mit App Router. Diese Versionen ermöglichen aufgrund einer Sicherheitslücke die Ausführung von Remote Code vor der Authentifizierung. Hierbei wird die unsichere Deserialisierung von HTTP-Payloads an Server-Funktionsendpunkte ausgenutzt. Auf diese Weise kann Schadcode ohne Anmeldung ausgeführt werden.
Attribution
Nach Angaben von AWS Security handelt es sich bei den Angreifern um die chinesischen Gruppierungen Earth Lamia und Jackpot Panda. Sie nutzen als Infrastruktur großflächige Anonymisierungsnetzwerke. Dadurch wird deren Identität verschleiert und eine eindeutige Attribuierung erschwert.
Empfehlungen
Wir empfehlen die folgenden Maßnahmen zur Beseitigung der Schwachstelle:
- Aktualisieren Sie anfällige React/Next.js Komponenten. Die Versionen 19.0.1, 19.1.2. und 19.2.1 beseitigen die Sicherheitslücke.
- Überprüfen Sie Anwendungs- und Webserverprotokolle auf verdächtige Aktivitäten. Achten Sie auf POST-Anfragen mit den Headern “next-action” oder “rsc-action-id”.
- Prüfen Sie, ob auf den Servern unerwartete Prozessausführungen oder Dateiänderungen stattgefunden haben.
AWS Security stellt einen aktuellen ausführlichen Bericht inklusive Indenticators of Compromise (IOCs) zur Verfügung. Wir legen allen Stellen, welche ins Visier der Angreifer kommen könnten, die Überprüfung ihrer eigenen Systeme anhand der IOCs nahe.