A poche settimane dalla sua divulgazione pubblica, React2Shell è passata rapidamente dallo status di vulnerabilità teorica a quello di minaccia concreta e diffusa, con effetti già misurabili su centinaia di organizzazioni reali. Microsoft ha confermato che attori malevoli hanno compromesso “diverse centinaia di macchine” appartenenti a realtà eterogenee per settore e area geografica, sfruttando la falla identificata come CVE-2025-55182 che colpisce i React Server Components. L’accesso ottenuto viene utilizzato per eseguire codice arbitrario, installare malware persistente e, nei casi più gravi, distribuire ransomware all’interno delle reti aziendali.

Secondo quanto riportato da Microsoft in un recente approfondimento tecnico, l’attività di sfruttamento è ormai ben oltre la fase di proof-of-concept. Gli attaccanti dimostrano una piena comprensione della vulnerabilità e delle architetture applicative moderne basate su JavaScript, riuscendo a mascherare le operazioni malevole all’interno di traffico apparentemente legittimo. È proprio questa capacità di mimetizzazione, favorita dalla natura stessa dei React Server Components, a rendere React2Shell particolarmente insidiosa in contesti cloud e microservizi.

Dal punto di vista tecnico, la vulnerabilità sfrutta una gestione impropria dell’esecuzione lato server dei componenti React, consentendo a un attore remoto di iniettare ed eseguire codice controllato. In un ecosistema in cui la separazione tra frontend e backend è sempre più sfumata, React2Shell apre una porta diretta ai backend applicativi, spesso dotati di privilegi elevati e accesso a risorse critiche. Microsoft segnala che gli attaccanti stanno utilizzando questa superficie di attacco per eseguire comandi arbitrari, distribuire downloader in memoria, installare cryptominer e muoversi lateralmente all’interno delle infrastrutture colpite.

Le prime avvisaglie erano emerse all’inizio del mese, quando alcuni ricercatori avevano evidenziato come il bug potesse essere concatenato ad altre debolezze e configurazioni errate. Quelle che inizialmente sembravano campagne di scansione esplorativa si sono però trasformate rapidamente in operazioni strutturate, con attività attribuite a gruppi legati a interessi cinesi e iraniani. A complicare ulteriormente il quadro sono arrivate, pochi giorni dopo, ulteriori rivelazioni su una serie di vulnerabilità collaterali note come “SecretLeak”, che hanno ampliato il perimetro di rischio proprio mentre molti team di sviluppo stavano ancora cercando di valutare l’impatto di React2Shell.

data act

Crediti: Shutterstock

I dati di telemetria raccolti da Microsoft trovano conferma nelle osservazioni di altri attori del settore. La società di sicurezza S-RM ha dichiarato di aver già gestito un incidente reale in cui React2Shell è stata utilizzata come vettore iniziale per compromettere una rete aziendale e distribuire ransomware. Si tratta di un passaggio significativo, perché segna l’ingresso della vulnerabilità nel radar di gruppi finanziariamente motivati, interessati non solo allo sfruttamento opportunistico ma anche a operazioni di estorsione mirata. Finora, gran parte delle segnalazioni pubbliche si era concentrata su backdoor e cryptominer, ma l’uso per ransomware rappresenta un salto di qualità nell’impatto potenziale.

Anche GreyNoise descrive uno scenario di abuso su scala industriale. Secondo il fondatore Andrew Morris, il volume di sfruttamento resta elevatissimo anche settimane dopo la disclosure iniziale, con un numero crescente di payload malware distinti osservati in circolazione. Le reti coinvolte nelle attività di exploit continuano ad aumentare quasi quotidianamente, segno che la finestra di opportunità rimane ampia e appetibile per attori con livelli di competenza molto diversi tra loro.

Una delle ragioni principali di questa diffusione è l’adozione massiva dei React Server Components. Nati per migliorare le prestazioni delle applicazioni spostando parte del rendering sul server, questi componenti sono ormai integrati in un numero enorme di applicazioni di produzione. Stime indipendenti indicano che fino al 39% degli ambienti cloud potrebbe risultare vulnerabile a React2Shell. Palo Alto Networks ha già confermato compromissioni in oltre cinquanta organizzazioni, ma gli analisti concordano sul fatto che il numero reale sia probabilmente molto più elevato, anche perché circa la metà dei sistemi esposti risulta ancora priva delle patch disponibili.

In questo contesto, Microsoft invita le organizzazioni ad applicare immediatamente le correzioni rilasciate, a verificare attentamente le implementazioni dei React Server Components esposte verso Internet e a monitorare con attenzione eventuali indicatori di compromissione. Con l’attività di sfruttamento ancora in piena accelerazione e una superficie vulnerabile così ampia, React2Shell rimane una delle falle più pericolose emerse recentemente nel panorama dello sviluppo web moderno.