De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft er bij federale instanties op aangedrongen de recente problemen te patchen Reageer2Shell kwetsbaarheid tegen 12 december 2025, te midden van berichten over wijdverbreide uitbuiting.
De kritieke kwetsbaarheid, bijgehouden als CVE-2025-55182 (CVSS-score: 10,0), beïnvloedt het React Server Components (RSC) Flight-protocol. De onderliggende oorzaak van het probleem is een onveilige deserialisatie waarmee een aanvaller kwaadaardige logica kan injecteren die de server in een geprivilegieerde context uitvoert. Het heeft ook invloed op andere raamwerken, waaronder Next.js, Waku, Vite, React Router en RedwoodSDK.
“Een enkel, speciaal vervaardigd HTTP-verzoek is voldoende; er is geen sprake van authenticatievereiste, gebruikersinteractie of verhoogde rechten”, aldus Cloudforce One, het Threat Intelligence-team van Cloudflare. “Eenmaal succesvol kan de aanvaller willekeurig, geprivilegieerd JavaScript uitvoeren op de getroffen server.”
Sinds de publieke bekendmaking op 3 december 2025 is de tekortkoming door meerdere bedreigingsactoren in verschillende campagnes uitgebuit om deel te nemen aan verkenningsinspanningen en een breed scala aan malwarefamilies te leveren.
De ontwikkeling was voor CISA aanleiding om het afgelopen vrijdag toe te voegen aan de catalogus met bekende uitgebuite kwetsbaarheden, waardoor federale instanties tot 26 december de tijd kregen om de oplossingen toe te passen. De deadline is sindsdien herzien naar 12 december 2025, een indicatie van de ernst van het incident.
Cloudbeveiligingsbedrijf Wiz zei dat het een “snelle golf van opportunistische exploitatie” van de fout heeft waargenomen, waarbij een grote meerderheid van de aanvallen gericht was op internetgerichte Next.js-applicaties en andere gecontaineriseerde werklasten die draaien in Kubernetes en beheerde clouddiensten.
Cloudflare, dat ook de voortdurende exploitatieactiviteiten volgt, zei dat bedreigingsactoren zoekopdrachten hebben uitgevoerd met behulp van internetbrede scan- en activadetectieplatforms om blootgestelde systemen te vinden waarop React- en Next.js-applicaties draaien. Opvallend is dat sommige van de verkenningsinspanningen Chinese IP-adresruimten hebben uitgesloten van hun zoekopdrachten.
“Hun onderzoeken met de hoogste dichtheid vonden plaats tegen netwerken in Taiwan, Xinjiang Oeigoerse, Vietnam, Japan en Nieuw-Zeeland – regio’s die vaak worden geassocieerd met prioriteiten voor het verzamelen van geopolitieke inlichtingen”, aldus het webinfrastructuurbedrijf.
De waargenomen activiteit zou zich ook, zij het selectiever, hebben gericht op overheidswebsites (.gov), academische onderzoeksinstellingen en exploitanten van kritieke infrastructuur. Dit omvatte een nationale autoriteit die verantwoordelijk was voor de import en export van uranium, zeldzame metalen en nucleaire brandstof.
Enkele van de andere opmerkelijke bevindingen worden hieronder vermeld:
- Prioriteit geven aan hooggevoelige technologische doelen, zoals wachtwoordmanagers voor bedrijven en veilige kluisdiensten, waarschijnlijk met als doel aanvallen op de toeleveringsketen uit te voeren
- Gericht op edge-facing SSL VPN-apparaten waarvan de administratieve interfaces op React gebaseerde componenten kunnen bevatten
- Vroege scan- en exploitatiepogingen waren afkomstig van IP-adressen die eerder geassocieerd waren met aan Azië gelieerde dreigingsclusters
In zijn eigen analyse van honeypot-gegevens zei Kaspersky dat het op één dag op 10 december 2025 meer dan 35.000 exploitatiepogingen registreerde, waarbij de aanvallers eerst het systeem doorzochten door opdrachten als whoami uit te voeren, voordat ze cryptocurrency-mijnwerkers of botnet-malwarefamilies zoals Mirai/Gafgyt-varianten en RondoDox lieten vallen.
Beveiligingsonderzoeker Rakesh Krishnan heeft ook een open map ontdekt die wordt gehost op “154.61.77(.)105:8082” en die een proof-of-concept (PoC) exploitscript voor CVE-2025-55182 bevat, samen met twee andere bestanden –
- “domains.txt”, dat een lijst van 35.423 domeinen bevat
- “next_target.txt”, die een lijst met 596 URL’s bevat, waaronder bedrijven als Dia Browser, Starbucks, Porsche en Lululemon
Er is vastgesteld dat de niet-geïdentificeerde bedreigingsacteur actief het internet scant op basis van doelen die aan het tweede bestand zijn toegevoegd, waarbij honderden pagina’s worden geïnfecteerd.
Volgens de laatste gegevens van The Shadowserver Foundation zijn er per 11 december 2025 ruim 137.200 op het internet zichtbare IP-adressen waarop kwetsbare code draait. Hiervan bevinden zich ruim 88.900 exemplaren in de VS, gevolgd door Duitsland (10.900), Frankrijk (5.500) en India (3.600).
