React2Shell : la faille zéro-clic qui alimente une vague mondiale de cybercriminalité

Lorsqu’une faille de sécurité critique est apparue dans le framework de développement web le plus populaire au monde, il n’a fallu que quelques heures aux cybercriminels pour lancer une offensive mondiale. La vulnérabilité React2Shell - indétectable pour les utilisateurs et facilement exploitable par les attaquants - a déjà permis des intrusions dans plus de 30 organisations, avec plus de 77 000 serveurs encore exposés à la menace. Alors que des groupes de hackers étatiques entrent en lice, la course au correctif est lancée, mais les défenseurs pourront-ils devancer les attaquants ?

Anatomie d’un braquage web moderne

Le 3 décembre, les mainteneurs de React ont révélé une bombe à retardement : une faille d’exécution de code à distance (RCE) tapie dans les React Server Components, affectant des frameworks comme Next.js. La vulnérabilité, suivie sous le nom CVE-2025-55182 et surnommée « React2Shell », repose sur une désérialisation non sécurisée - permettant aux attaquants d’envoyer une requête HTTP spécialement conçue et de prendre instantanément le contrôle d’un serveur vulnérable, sans besoin de connexion.

En moins d’une journée, des exploits de preuve de concept ont été publiés. Des scans automatisés ont balayé la planète, Shadowserver enregistrant près de 78 000 IP exposées, et les attaquants passant rapidement de la détection à l’exploitation. GreyNoise a suivi plus de 180 adresses IP d’attaquants uniques en seulement 24 heures, la majorité du trafic malveillant provenant des Pays-Bas, de Chine et des États-Unis.

De la reconnaissance à la prise de contrôle totale

Les attaquants commencent généralement par envoyer de simples commandes PowerShell pour vérifier si un serveur est vulnérable, puis passent à des scripts encodés qui téléchargent d’autres malwares. Les charges utiles privilégiées ? Des balises Cobalt Strike pour le command-and-control, des droppeurs Snowlight pour livrer d’autres outils malveillants, et des portes dérobées Vshell pour un accès persistant et furtif. Selon les renseignements de Palo Alto Networks et Amazon AWS, des compromissions majeures ont été attribuées à des APT chinoises telles que Earth Lamia, Jackpot Panda et UNC5174 - des groupes connus pour l’espionnage et la revente d’accès initial.

Le mode opératoire des attaquants inclut le vol d’identifiants AWS, la désactivation des défenses de sécurité et la progression latérale dans les réseaux. L’ampleur et la rapidité de ces opérations soulignent la professionnalisation de la cybercriminalité, les acteurs étatiques exploitant les failles publiques presque dès leur divulgation.

Panique autour des correctifs et dommages collatéraux

Avec autant d’organisations en danger, la course au correctif a été immédiate. Cloudflare a publié en urgence une règle de pare-feu applicatif (WAF) - provoquant involontairement la panne de nombreux sites clients. Pendant ce temps, l’agence américaine CISA a ajouté React2Shell à sa liste de correctifs obligatoires, imposant aux agences fédérales de mettre à jour avant le 26 décembre 2025.

Les experts en sécurité avertissent qu’une simple mise à jour ne suffit pas : les applications doivent être reconstruites et redéployées, et les journaux analysés à la recherche d’exécutions de commandes suspectes. Pour les organisations lentes à réagir, la fenêtre de défense se referme rapidement.