Google en Microsoft melden misbruik van kritiek React2Shell-lek

In dit artikel:

Zwaarbewaakte kwetsbaarheid in React Server Components (React2Shell, CVE-2025-55182) wordt actief misbruikt, melden Microsoft en Google. De fout zit in React Server Components, een populair onderdeel dat serverside-logica voor React-apps mogelijk maakt en ook in frameworks zoals Next.js gebruikt wordt. Volgens Google zetten aanvallers via het lek backdoors en cryptominers op, met zowel financieel gewin als spionage als motief. Microsoft rapporteert dat dezelfde groep ook probeert inloggegevens te stelen — onder meer voor Azure IMDS — en identity tokens te bemachtigen om laterals beweging naar cloudresources (Azure, AWS, GCP, Tencent) te maken.

The Shadowserver Foundation screende het internet en trof meer dan 111.000 kwetsbare ip‑adressen, waarvan circa 1.100 in Nederland; Microsoft signaleert tienduizenden getroffen apparaten binnen duizenden organisaties. Shadowserver deelt de bevindingen met nationale cyberinstanties en betrokken partijen. Organisaties met React- of React-gebaseerde diensten wordt aangeraden snel te controleren op kwetsbare versies en passende mitigaties of patches toe te passen om verdere installatie van malware en diefstal van credentials te voorkomen.