Kriittinen React Server Components -haavoittuvuus
CVE-2025-55182 on kriittinen haavoittuvuus, jota käytetään hyväksi palvelimien kaappaamiseen, kryptolompakoiden tyhjentämiseen ja Monero-kaivosten asentamiseen. Tämä haavoittuvuus on aiheuttanut 3 miljardin dollarin varkausaaltoa vuodelle 2025, huolimatta kiireellisistä korjauspyynnöistä. Security Alliance varoittaa, että uhkaavat toimijat hyödyntävät tätä haavoittuvuutta lompakoiden tyhjentämiseen ja haittaohjelmien asentamiseen.
Haavoittuvuuden vaikutukset
Haavoittuvuus vaikuttaa kaikkiin verkkosivustoihin, jotka käyttävät Reactia, ja hyökkääjät kohdistavat lupasignaaleja eri alustoilla. Käyttäjät kohtaavat riskin allekirjoittaessaan tapahtumia, sillä haitallinen koodi keskeyttää lompakkoviestinnän ja ohjaa varat hyökkääjän hallinnoimiin osoitteisiin.
”Kryptolompakoiden tyhjentäjät aseistavat aktiivisesti CVE-2025-55182:ta, kehottamalla kaikkia verkkosivustoja tarkistamaan etupään koodinsa välittömästi epäilyttävien varojen varalta.” – Security Alliance
Korjaukset ja suositukset
Reactin virallinen tiimi paljasti haavoittuvuuden 3. joulukuuta, arvioiden sen CVSS-pisteet 10.0:ksi. Haavoittuvuus vaikuttaa React-versioihin 19.0, 19.1.0, 19.1.1 ja 19.2.0. Suurten kehysten, kuten Next.js, React Router, Waku ja Expo, on päivitettävä välittömästi. Korjaukset saapuivat versioissa 19.0.1, 19.1.2 ja 19.2.1.
Hyökkäykset ja seuraukset
Google Threat Intelligence Group on dokumentoinut laajoja hyökkäyksiä, jotka alkoivat 3. joulukuuta. Kiinalaiset hakkeriryhmät asensivat erilaisia haittaohjelmatyyppejä kaapattuihin järjestelmiin, erityisesti pilvipalvelimiin. Taloudellisesti motivoituneet rikolliset liittyivät hyökkäysaalloon 5. joulukuuta, asentamalla kryptokaivostoimintaa, joka käyttää uhrien laskentatehoa Moneron tuottamiseen.
”Hakkerit varastavat kryptovaluuttaa ja siirtävät sitä nopeammin, yhden rahanpesuprosessin kestäessä raportoidusti vain 2 minuuttia 57 sekuntia.” – Alan tietojen mukaan
Toimenpiteet organisaatioille
Organisaatioita, jotka käyttävät Reactia tai Next.js:ää, kehotetaan:
- Korjaamaan välittömästi versioihin 19.0.1, 19.1.2 tai 19.2.1
- Käyttämään WAF-sääntöjä
- Tarkastamaan kaikki riippuvuudet
- Seuraamaan verkkoliikennettä wget- tai cURL-komentojen osalta
- Etsimään valtuuttamattomia piilotettuja hakemistoja tai haitallisia shell-konfiguraatio-injektioita
Tietoturvaohjeet korostavat, että pelkkä WAF-suojaus ei riitä, ja korjatun version päivitys on välttämätöntä.
