Neue Zählung: Aktiv ausgenutzte React-Lücke gefährdet fast 150.000 Server
Eine unter dem Namen React2shell bekannte Sicherheitslücke in den React Server Components scheint noch weitaus mehr Serversysteme zu betreffen als bisher angenommen. Zuletzt registrierte die Shadowserver Foundation noch knapp 29.000 anfällige Systeme . Nach einer Optimierung bei der Erfassung zählte die Organisation aber laut neuem Mastodon-Beitrag(öffnet im neuen Fenster) kurz darauf plötzlich über 165.000 betroffene Server.
Wie sich dem Dashboard der Shadowserver Foundation(öffnet im neuen Fenster) entnehmen lässt, waren damit am 8. Dezember in der Spitze bis zu 165.712 Systeme über React2shell angreifbar. Innerhalb der nachfolgenden zwei Tage fiel diese Zahl auf 148.740. Einige Systeme scheinen also gepatcht oder vom Netz genommen worden zu sein.
Auch in Deutschland stieg die Anzahl anfälliger Server durch die neue Zählweise – von ehemals knapp 3.200 auf nunmehr 12.850. Wie schon bei den früheren Scans belegt Deutschland damit im Ländervergleich(öffnet im neuen Fenster) immer noch den zweiten Platz, gefolgt von Frankreich (5.948), Indien (4.142), China (2.724), Singapur (2.609) und Russland (2.267). Die USA führt mit 93.648 anfälligen Instanzen deutlich.
Unzählige Angriffe beobachtet
Besonders brisant ist die hohe Anzahl anfälliger Systeme vor allem deshalb, weil mehrere Cyberakteure die React-Lücke bereits ausnutzen. Laut einem Mastodon-Beitrag des Cert-Bund(öffnet im neuen Fenster) wurden schon unzählige Attacken beobachtet, bei denen die Angreifer Zugangsdaten abgegriffen oder Malware nachgeladen haben, um ihren Zugriff auf infiltrierte Systeme dauerhaft aufrechtzuerhalten und sie in Botnetze einzugliedern oder für Kryptomining zu missbrauchen.
Dazu passende Berichte gibt es inzwischen von mehreren Cybersicherheitsunternehmen wie Sysdig(öffnet im neuen Fenster) , Wiz(öffnet im neuen Fenster) , Greynoise(öffnet im neuen Fenster) und Palo Alto Networks(öffnet im neuen Fenster) . Das BSI trug in einer eigenen Sicherheitsmeldung(öffnet im neuen Fenster) wichtige Erkenntnisse und Empfehlungen rund um React2Shell und die beobachteten Attacken zusammen.
React2shell ist als CVE-2025-55182(öffnet im neuen Fenster) registriert und mit dem höchstmöglichen CVSS-Wert von 10,0 als kritisch eingestuft. Betroffen sind neben dem React-Framework ab Version 19 auch davon abhängige Projekte wie Next.js(öffnet im neuen Fenster) . Patches sind schon seit dem 3. Dezember verfügbar(öffnet im neuen Fenster) und sollten angesichts der laufenden Angriffe dringend installiert werden, sofern noch nicht geschehen.