React2Shell: vulnerabilidad crítica en React es explotada para instalar backdoors en servidores Linux

Una vulnerabilidad crítica identificada como React2Shell (CVE-2025-55182) está siendo explotada activamente en internet para comprometer servidores Linux que ejecutan aplicaciones basadas en React Server Components (RSC). El fallo permite ejecución remota de código sin autenticación, lo que ha derivado en campañas de instalación de backdoors persistentes y robo masivo de credenciales.

El incidente representa uno de los riesgos más serios observados recientemente en el ecosistema moderno de aplicaciones web.

Qué es React2Shell y por qué es tan peligrosa

React2Shell es una vulnerabilidad de severidad máxima (CVSS 10.0) que afecta al protocolo Flight, utilizado por React Server Components para la comunicación cliente-servidor.

El problema se origina en una deserialización insegura de datos RSC, que permite a un atacante inyectar payloads maliciosos y lograr ejecución arbitraria de código en el servidor. La explotación no requiere credenciales ni interacción del usuario.

Las aplicaciones afectadas incluyen:

• React 19.x

• Next.js 15.x y 16.x

• Proyectos que utilizan App Router y React Server Components

Esto coloca a una amplia base de aplicaciones productivas en riesgo inmediato.

Explotación activa y backdoors en Linux

Investigadores de seguridad han confirmado campañas en curso donde actores maliciosos utilizan React2Shell para desplegar backdoors avanzados en servidores Linux expuestos.

Una vez comprometido el sistema, los atacantes instalan payloads que ofrecen:

• Shell interactiva remota

• Ejecución arbitraria de comandos

• Manipulación y exfiltración de archivos

• Movimiento lateral dentro de la red

Los backdoors suelen camuflarse como procesos legítimos, simulando demonios del sistema o servicios del kernel, lo que dificulta su detección por herramientas tradicionales.

Además, se ha observado la creación de redes mesh cifradas entre servidores comprometidos, permitiendo resiliencia, persistencia y evasión de bloqueos de red.

Tácticas y objetivos de los atacantes

Los ataques están altamente automatizados. Los actores de amenazas escanean internet en busca de aplicaciones React y Next.js vulnerables y, tras explotar la falla, despliegan infraestructura ofensiva adicional.

Entre las técnicas observadas destacan:

• Túneles reversos y proxys SOCKS5

• Uso de herramientas como TruffleHog y Gitleaks para búsqueda de secretos

• Enumeración agresiva de archivos y variables de entorno

Los objetivos principales incluyen la obtención de:

• Claves de API de servicios de IA (OpenAI, Anthropic, etc.)

• Tokens de Databricks

• Credenciales de Kubernetes

• Llaves de AWS, Docker y otros entornos cloud

• Archivos sensibles como "/etc/shrdow", claves SSH y historiales de comandos

Esto sugiere motivaciones tanto financieras como estratégicas, especialmente en entornos de infraestructura compartida.

Campañas confirmadas y actores involucrados

Firmas como Trend Micro, Cloudflare y Google Threat Intelligence han confirmado intentos de explotación generalizados. Parte de las campañas han sido vinculadas a grupos de amenazas asociados a China, así como a ciberdelincuentes financieros que buscan monetizar accesos a infraestructura comprometida.

Un patrón recurrente es el uso de Cloudflare Tunnel (*[.]trycloudflare.com) para ocultar tráfico de comando y control (C2), facilitar movimientos laterales y evadir controles perimetrales en VPS distribuidos globalmente.

Recomendaciones urgentes para equipos técnicos

Los especialistas en seguridad recomiendan acciones inmediatas:

• Aplicar los parches oficiales publicados por React y Vercel el 3 de diciembre de 2025

• Actualizar React 19.x y Next.js 15/16 a versiones corregidas

• Revisar configuraciones y uso de React Server Components

• Implementar reglas de detección específicas para patrones de React2Shell

• Monitorear procesos Linux anómalos y tráfico saliente sospechoso

• Auditar servidores en busca de persistencia, túneles y backdoors

• Rotar de inmediato todas las credenciales y claves si existe indicio de compromiso

Una advertencia para el desarrollo moderno

React2Shell pone en evidencia una realidad crítica: las arquitecturas modernas no eliminan riesgos, los trasladan al servidor. La adopción acelerada de frameworks con lógica compleja del lado backend exige controles de seguridad equivalentes a los de cualquier servicio crítico.