React2Shell: Kritische Remote-Code-Schwachstelle trifft Millionen von Systemen : CISA stuft CVE-2025-55182 als aktiv ausgenutzt ein – Gefahr für Cloud- und Webanwendungen wächst

Nur wenige Stunden nach der Offenlegung registrierte Amazon Angriffsversuche aus Infrastrukturen, die Gruppen wie Earth Lamia und Jackpot Panda zugeordnet werden. Auch Coalition, Fastly, GreyNoise, VulnCheck und Wiz meldeten breit angelegte Scan- und Exploit-Wellen.

Jacob Baines von VulnCheck berichtete: „Wir haben viele Angriffe aus dem RondoDox-Botnetz beobachtet“. Die Angriffe reichten von Kryptowährungs-Minern bis zu PowerShell-Kommandos, die lediglich prüfen sollten, ob Systeme verwundbar sind. Teilweise wurden In-Memory-Downloader nachgeladen, um zusätzliche Schadsoftware einzuschleusen.

Die Ausnutzung erfolgt bereits weltweit. Censys identifizierte etwa 2,15 Millionen potenziell verwundbare Dienste, darunter tausende exponierte Next.js- und RSC-Instanzen. Die Shadowserver Foundation fand über 100.000 verwundbare IP-Adressen – allein 15.000 davon in Deutschland.

Palo Alto Networks Unit 42 identifizierte mehr als 30 betroffene Organisationen. Die beobachteten Muster deuteten deutlich auf die chinesische Hackergruppe UNC5174 hin. „Wir haben das Scannen nach anfälligen Remote-Codeausführungspunkten, umfangreiche Aufklärungsaktivitäten, Versuche zum Diebstahl von AWS-Konfigurations- und Zugangsdaten sowie die Installation von Downloadern beobachtet“, erklärt Justin Moore. Die Angreifer arbeiteten dabei entlang der gesamten Angriffskette – von der initialen Erkundung bis zur Vorbereitung weiterer Schadlasten – und nutzten die Schwachstelle systematisch aus. Die Angriffe lassen sich vor allem daran erkennen, dass die Akteure Werkzeuge wie SNOWLIGHT und VShell einsetzen.

Proof-of-Concepts (PoC) befeuern das Risiko – Exploits zunehmend vielseitig

Der Sicherheitsforscher Lachlan Davidson, der die Lücke entdeckt hatte, veröffentlichte inzwischen mehrere Proof-of-Concept-Exploits. Ein weiterer funktionierender PoC stammt vom taiwanesischen Forscher maple3142. Damit stieg die Ausnutzbarkeit sprunghaft.

VulnCheck beobachtete eine wachsende Bandbreite von Angriffen:

• einfache Exploits zur Ausführung von Betriebssystembefehlen oder Reverse-Shells
• Dropper-artige Payloads für dauerhaften Zugriff
• In-Memory-Web-Shells ohne Festplattenberührung

„Die Post-Exploitation-Story für React2Shell ist nahezu perfekt“, so dazu Cale Black. Gemeint ist damit, dass ein Angreifer nach erfolgreicher Ausnutzung mit nur einer einzigen, kaum auffälligen Anfrage direkten Zugriff auf die laufende In-Memory-Umgebung des Servers erhält. Da dieser Zugriff vollständig im Arbeitsspeicher stattfindet, können Angreifer den internen Zustand des Backends verändern, beliebige JavaScript-Aktionen ausführen und sogar komplexe Manipulationen vorbereiten – ohne Dateien auf die Festplatte schreiben zu müssen. Dadurch bleiben viele Aktivitäten für traditionelle Sicherheitswerkzeuge unsichtbar, was die Angriffsmethode besonders gefährlich macht.

Wiz meldete zusätzlich Angriffe mit Sliver-Implantaten, Smash-and-Grab-Kampagnen zum Sammeln von Anmeldedaten. Daten des Cloud-Sicherheitsunternehmens zeigen, dass 45 Prozent der Cloud- und Code-Umgebungen mindestens eine verwundbare React-Instanz enthalten. In 12 Prozent der Cloud-Umgebungen sind verwundbare React- oder Next.js-Anwendungen sogar direkt über das Internet erreichbar. In 0,4 Prozent der Umgebungen finden sich bereits kritische Hinweise auf eine tatsächliche Kompromittierung.

„Angreifer nutzen CVE-2025-55182 nicht nur, um einzelne Befehle auszuführen, sondern um interaktiven, cloudfähigen Zugriff auf containerisierte Workloads zu erhalten, aggressiv Geheimnisse auszulesen, lokale Sicherheitsmaßnahmen zu schwächen und den Zugriff durch Kryptomining und die Installation von Backdoors zu monetarisieren“, so das Unternehmen.

Darüber hinaus wurden Versuche beobachtet, Cobalt Strike, interaktive Web-Shells und weitere bekannte Malware-Familien zu installieren. Besonders bemerkenswert ist eine plattformübergreifende Backdoor namens Noodle RAT (auch bekannt als ANGRYREBEL und Nood RAT), die sowohl Windows- als auch Linux-Systeme infizieren kann.

Systemische Risiken durch Next.js-Verbreitung – deterministischer Fehler macht Patch zwingend

Die Besonderheit von CVE-2025-55182 liegt laut Unit 42 in ihrer „Natur als deterministischer Logikfehler im Flight-Protokoll“. Das bedeutet: Die Ausnutzung hängt nicht von Zufällen oder Speicherzuständen ab, wie es bei klassischen Speicherfehlern oft der Fall ist. Stattdessen führt der Fehler bei jeder korrekt aufgebauten Anfrage zuverlässig zur Ausführung. Genau diese Vorhersehbarkeit macht die Schwachstelle so gefährlich. In Kombination mit der weit verbreiteten Nutzung von Next.js in Unternehmensumgebungen entsteht dadurch eine systemweite Angriffsfläche – inklusive direktem Zugriff auf sensible Daten und zentrale Laufzeitumgebungen.

Miggo führt die technischen Hintergründe weiter aus: Jeder Server, der React Server Components verarbeitet, ist grundsätzlich anfällig. „Ein echter Angriff erfordert eine Multipart/Form-Data-Nutzlast sowie bestimmte Flight-Protokoll-Operatoren ($@, $B, $n)“, erklärte Ben Stav. Diese speziellen Operatoren ermöglichen es Angreifern, Werte einzuschleusen, die der Parser eigentlich nicht erwarten würde. Dadurch lassen sich Strukturen im Flight-Protokoll manipulieren und der Server dazu bringen, schädliche Objekte oder Befehle als legitime Daten zu interpretieren.

Dringender Handlungsbedarf bis Ende Dezember

Für US-Bundesbehörden gilt durch die Binding Operational Directive eine Update-Pflicht bis zum 26. Dezember 2025. Auch Organisationen weltweit sind angehalten, rasch zu reagieren: Die Kombination aus aktiver Ausnutzung, veröffentlichten Exploits und garantierter Ausführbarkeit macht React2Shell zu einer der gefährlichsten Schwachstellen des Jahres.

Die Empfehlung ist eindeutig: Systeme müssen sofort auf die gepatchten Versionen aktualisiert werden. Jede Verzögerung verschafft Angreifern Zeit – und diese nutzen sie bereits.