Attacken laufen bereits: Rund 29.000 Server über React-Lücke angreifbar
Erst vor wenigen Tagen wurde eine kritische Sicherheitslücke in den React Server Components bekannt, mit der Angreifer auf anfälligen Serversystemen eigenen Code zur Ausführung bringen können. Die Shadowserver Foundation hat inzwischen erste Zahlen veröffentlicht(öffnet im neuen Fenster) , die zeigen, wie viele Systeme angreifbar sind. Deutschland ist ganz vorne mit dabei. Immerhin sind die Zahlen stark rückläufig.
Weltweit sind mit Stand vom 7. Dezember noch knapp 29.000 Systeme anfällig. Damit hat sich die Anzahl anfälliger Systeme bereits erheblich verringert, denn zwei Tage zuvor zählte die Shadowserver Foundation(öffnet im neuen Fenster) noch mehr als 77.000 angreifbare Server. Dies entspricht einem Rückgang von mehr als 60 Prozent in nur zwei Tagen.
Spitzenreiter im Ländervergleich(öffnet im neuen Fenster) waren zuletzt die USA mit 10.116 Servern, gefolgt von Deutschland (3.223), China (1.690), Frankreich (1.425), Singapur (1.236) und Indien (1.079). Danach folgen Südkorea, Russland, Japan, das Vereinigte Königreich, Irland, die Niederlande, Finnland und Australien, deren Zahlen jeweils im dreistelligen Bereich liegen.
Angriffe laufen bereits
Patches für die React2shell genannte und als CVE-2025-55182(öffnet im neuen Fenster) registrierte Sicherheitslücke sind bereits seit dem 3. Dezember verfügbar(öffnet im neuen Fenster) . Auch für das ebenfalls anfällige Next.js-Framework gibt es entsprechende Updates(öffnet im neuen Fenster) . Wer die Patches noch nicht eingespielt hat, sollte das dringend nachholen, denn Sicherheitsforscher haben bereits beobachtet, wie Angreifer das Netz nach anfälligen Systemen absuchen, um diese zu kompromittieren.
Nützliche Details für die Abwehr der laufenden Angriffe sind beispielsweise in Blogbeiträgen von AWS(öffnet im neuen Fenster) und Greynoise(öffnet im neuen Fenster) sowie einer Sicherheitsmeldung des BSI(öffnet im neuen Fenster) zu finden. Die Attacken werden unter anderem Cyberakteuren aus China zugeschrieben, teilweise stammen die IP-Adressen der Angreifer aber auch aus den Niederlanden, den USA und anderen Regionen.
Einem Bericht von Bleeping Computer(öffnet im neuen Fenster) zufolge haben Forscher von Palo Alto Networks schon mindestens 30 Organisationen identifiziert, deren Systeme erfolgreich durch React2shell infiltriert wurden. Die Angreifer sollen im Anschluss verschiedene Befehle ausgeführt haben, um die jeweiligen IT-Umgebungen zu erkunden und unter anderem AWS-Konfigurations- und Zugangsdaten abzugreifen.