Cisco meldt grootschalige diefstal van inloggegevens via React2Shell-lek

In dit artikel:

Beveiligingsonderzoekers van Cisco melden dat aanvallers honderden servers hebben gekraakt via het React2Shell-lek (CVE-2025-55182) in React Server Components. De kwetsbaarheid laat een ongeauthenticeerde aanvaller op afstand code uitvoeren; eind 2024 waren er al meldingen van misbruik voor het installeren van backdoors en cryptominers. Bij de meest recente campagne doorzochten de aanvallers systemen die React Server Components gebruiken, compromitteerden hosts en roofden uiteenlopende inloggegevens: database-credentials, SSH-private keys, AWS-credentials, shell-geschiedenis, Stripe API-sleutels en GitHub-tokens. Cisco meldt dat in één dag 766 hosts in meerdere regio’s en bij verschillende providers werden gekraakt.

Cisco raadt aan de beveiligingspatch onmiddellijk te installeren en secrethandling te verbeteren: stuur server-only omgevingsvariabelen niet naar clientcomponenten, hergebruik SSH-keys niet over meerdere systemen en voorkom dat applicatiecontainers toegang hebben tot de host SSH-agent. Dergelijke maatregelen verkleinen de kans op laterale beweging en datadiefstal.