Trend Micro: React2Shell-eksploits oversvømmer nettet

Eskil Sørensen

12.15.2025 13:27

Men de fleste er ubrugelige

Efter offentliggørelsen af CVE-2025-55182 den 3. december har internettet oplevet en sand flodbølge af proof-of-concept (PoC) exploits. Den kritiske RCE-sårbarhed i React Server Components-protokollen, kendt som React2Shell, har fået trusselsaktører og hobbyhackere til at kaste kode på GitHub i et tempo, der har overrasket selv erfarne forskere. Men ifølge Trend Micro er langt størstedelen af disse exploits værdiløse – og nogle direkte farlige.

Det skriver Dark Reading.

145 offentlige exploits – men kun få virker

Trend Micro offentliggjorde i denne uge en rapport, der dokumenterer omkring 145 offentlige exploits relateret til React2Shell. Det lyder voldsomt, men forskerne understreger, at de fleste PoCs ikke kan udnytte sårbarheden korrekt. Mange er brudte, falske eller decideret ondsindede med indbyggede backdoors og malware.

“Vi ser en enorm mængde støj, som gør det svært for forsvarere at skelne mellem reelle trusler og ubrugelig kode,” skriver Trend Micro.

Alligevel har teamet identificeret en håndfuld funktionelle exploits, som kan bruges til penetrationstest – og som trusselsaktører med garanti vil forsøge at misbruge.

Fra AI-slop til sofistikerede bypasses
Selvom størstedelen af koden er ubrugelig kode, “AI-genereret slop”, som forskerne kalder det, er der enkelte eksempler, der skiller sig ud. Trend Micro peger på exploits med indbygget WAF-bypass, hvilket er bekymrende, da store leverandører som Cloudflare og AWS har rullet nye WAF-regler ud for at blokere React2Shell-angreb.

En udbredt misforståelse er, at det er nok at blokere requests med __proto__. Trend Micro advarer om, at effektive regler også skal dække mønstre som:

$@-chunks
resolved_model
constructor:constructor
_formData.get

“Vi har set adskillige bypasses, og simple blokeringer giver en falsk følelse af sikkerhed,” skriver forskerne.

Eksploits som forsvar – og som angreb

Trend Micro bemærker en interessant tendens: Nogle exploits forsøger ikke at droppe en payload, men i stedet at implementere en lightweight WAF for at beskytte mod React2Shell-angreb. En kreativ – men risikabel – strategi, der viser, hvor hurtigt communityet reagerer på kritiske sårbarheder.

Andre PoCs er langt mere aggressive. Et eksempel, fremhævet af VulnCheck, indlæser Godzilla, en kendt in-memory webshell, hvilket næsten garanterer, at teknikken vil dukke op i aktive angreb.

Rapporten understreger, at den massive mængde exploits skaber et farligt informationsmiljø: Forsvarere drukner i støj, mens enkelte sofistikerede PoCs kan glide under radaren. Samtidig er WAF-bypasses en voksende bekymring, og organisationer bør ikke stole blindt på standardregler.

Kort sagt: React2Shell har udløst en eksploits-tsunami, hvor 90% er ubrugeligt slop – men de resterende 10% kan gøre alvorlig skade. Trend Micro opfordrer til hurtig patching, styrkede WAF-regler og skærpet overvågning.

Læs mere

https://www.darkreading.com/threat-intelligence/react2shell-exploits-flood-internet-attacks-continue

Sårbarhed