--- title: "Falha Crítica no React (de novo!): Ransomware Agora Explora a Brecha 'React2Shell'" author: "Gabriela P. Torres" date: "2025-12-18 15:04:00-03" category: "Segurança & Privacidade" url: "http://desbugados.scale.press/portal/desbugados/post/2025/12/18/falha-critica-no-react-de-novo-ransomware-agora-explora-a-brecha-react2shell/md" --- ## O Bug: Uma Promessa de Funcionalidade se Torna uma Porta Aberta A premissa dos React Server Components (RSC) é lógica: otimizar o desempenho renderizando componentes no servidor. Para que isso funcione, o protocolo 'Flight' foi criado para serializar (empacotar) esses componentes e suas props. O problema, identificado como **CVE-2025-55182** ou 'React2Shell', reside no processo inverso: a desserialização. Em termos lógicos, se o servidor recebe um pacote de dados e o desserializa sem uma verificação rigorosa de sua origem e conteúdo, então ele pode ser instruído a executar código arbitrário. É exatamente o que acontece aqui. Um atacante pode enviar uma carga maliciosa que, ao ser processada pelo servidor, concede execução remota de código (RCE) sem qualquer tipo de autenticação. Fato: a vulnerabilidade é crítica. ## Análise Forense: A Anatomia de um Ataque de Ransomware em Menos de um Minuto A teoria da exploração rapidamente se tornou prática. Inicialmente, observamos atores estatais e mineradores de criptomoedas explorando a falha. Contudo, um relatório de 5 de dezembro da S-RM Intelligence & Cyber Security confirmou um novo vetor: ransomware. A análise do ataque que implantou o ransomware Weaxor revela uma eficiência alarmante. ### A Sequência Lógica da Infecção: **T=0s: Acesso Inicial.** O atacante explora a vulnerabilidade React2Shell para obter a primeira entrada no servidor. Nenhum login, nenhuma senha. Apenas uma requisição bem-formulada.**T<10s: Estabelecimento de Comando e Controle (C2).** Um comando PowerShell ofuscado é executado. Sua função é implantar um 'beacon' do Cobalt Strike, uma ferramenta de pentest legítima, mas amplamente abusada para manter comunicação persistente e discreta com o servidor comprometido.**T<20s: Desativação das Defesas.** O próximo comando desabilita a proteção em tempo real do Windows Defender. Se a sentinela é neutralizada, então o ataque pode prosseguir sem ser detectado.**T<60s: Criptografia.** O payload do ransomware Weaxor é executado. Os arquivos no servidor são criptografados e renomeados com a extensão '.WEAX'. Uma nota de resgate, 'RECOVERY INFORMATION.txt', é deixada em cada diretório.A conclusão é irrefutável: a velocidade do ataque sugere automação e demonstra o quão baixo é o limiar para a exploração bem-sucedida desta falha. ## Verificação de Fatos: Quem é o Ransomware Weaxor? Uma análise do Weaxor indica que não se trata de um ator de ameaça altamente sofisticado. As evidências sugerem que é uma reformulação da operação Mallox/FARGO. Suas características são: **Oportunista:** Foca em servidores publicamente expostos com vulnerabilidades conhecidas.**Sem Exfiltração de Dados:** Até o momento, não há indícios de que o Weaxor realize a chamada 'dupla extorsão', que envolve roubar dados antes de criptografá-los. Se o Weaxor ataca, então o objetivo primário é a criptografia para um resgate rápido.**Ações de Ocultação:** O ransomware limpa as cópias de sombra de volume (Volume Shadow Copies) para impedir a restauração fácil e apaga os logs de eventos para dificultar a análise forense.## Sua Caixa de Ferramentas: Mitigação e Verificação Aplicar o patch de segurança para o React 19 e Next.js é a ação primária, mas não é suficiente. Se você esteve vulnerável, então a verificação de comprometimento é mandatória. ### Passos Lógicos para Ação: **Atualize Imediatamente:** Aplique as correções de segurança fornecidas pelos mantenedores do React e Next.js. Não há justificativa para o atraso.**Inicie uma Caça a Ameaças (Threat Hunting):** Analise os logs do Windows e a telemetria do seu EDR (Endpoint Detection and Response). Apenas aplicar o patch não remove um atacante que já está dentro da sua rede.**Procure o Indicador Chave:** O indicador de comprometimento (IoC) mais forte para a exploração do React2Shell é um processo **node.exe** iniciando processos filhos como **cmd.exe** ou **powershell.exe**. Esta é uma anomalia que deve ser investigada com prioridade máxima.**Monitore Sinais Adicionais:** Fique atento a conexões de rede de saída para destinos desconhecidos, desativação de ferramentas de segurança, limpeza de logs e picos inexplicáveis no uso de CPU ou disco.A situação é clara: a vulnerabilidade React2Shell não é um problema teórico. É uma ameaça ativa, explorada por múltiplos atores com objetivos distintos. Tratar isso com a urgência que os fatos demandam é a única resposta lógica.