Een kwetsbaarheid in de alomtegenwoordige logging-software Log4j zorgde bij de onthulling ervan eind 2021 direct voor tumult. Het opsporen ervan bleek in de maanden en jaren makkelijker gezegd dan gedaan, met miljoenen pogingen tot exploitatie en nog altijd ongepatchte software tot gevolg. Op de valreep van 2025 volgt React2Shell, opnieuw een ernstig cybergevaar dat een grote impact kan hebben. Wat weten we tot nu toe en is hier sprake van een volwaardige Log4Shell-opvolger?
CVE-2025-55182 luidt de huidige kwetsbaarheid in React Server Components (RSC), specifiek versies 19.0.0, 19.1.0, 19.1.1 en 19.2.0. De ernst ervan op basis van de CVSS-score is gelijk aan Log4Shell: 10.0, de maximale score. Die score komt vaker voor dan je zou verwachten bij een maximum en is vrijwel een gegeven door de Remote Code Execution-mogelijkheden die hackers hebben na exploitatie. De payload is hierbij een doelgerichte HTTP-request naar een React-/Next.js-server endpoint voor RSC.
Inmiddels is bekend dat meer dan 30 bedrijven in verschillende sectoren slachtoffer zijn geworden van React2Shell, slechts vijf dagen nadat het bekend werd. Met name Chinese staatsactoren sloegen al binnen enkele uren toe, meldde AWS de dag na de bekendmaking. De hyperscaler had ze al snel in het vizier dankzij honeytokens (neppe credentials om aanvallen te monitoren) en de al ingestelde firewallregels. Vele aanvallers en slachtoffers zouden desondanks kunnen volgen – ervan uitgaande dat ze niet of niet tijdig patchen.
Lees meer over Log4Shell’s impact in dit eerdere artikel
Log4Shell en React2Shell: niet even alarmerend, wel gelijksoortig
Wie op relatief eenvoudige wijze een user interface bouwt, doet dat veelal met React of Next.js en dus met RSC. Wiz ontdekte dat 39 procent van cloudomgevingen instances van de ene of de andere oplossing draaien. Het Next.js-framework is volgens datzelfde Wiz aanwezig in 69 procent van alle gescande omgevingen. 61 procent daarvan draait publieke applicaties met Next.js, waardoor het cybersecuritybedrijf 44 procent van alle cloudomgevingen aanstipt als blootgestelde Next.js-instances. Organisaties die al draaien op 19.0.1, 19.1.2 en 19.2.1 van RSC zijn niet meer vatbaar, mocht een exploitatie nog niet zijn voorgekomen.
Log4j is en was ten tijde van Log4Shell veel verder verspreid dan RSC. Het zit in backend-systemen, routers en appliances als standaard logging-tool voor Java-applicaties. Cloud, on-prem, edge, modern, legacy, noem het maar op: de kans is groot dat Log4j ergens draait op de achtergrond. Alleen al om die reden was de angst omtrent Log4Shell direct groter dan nu het geval is bij React2Shell: zie alle Log4j-instances maar eens allemaal te vinden voordat je ze kunt patchen. Bij RSC is de aanname dat gebruikers eraan gewend zijn om hun React- of Next.js-instances te updaten, maar dat moet nog in de werkelijkheid blijken. Deze frameworks worden gebruikt voor veelal actieve webapplicaties, dus we hebben er redelijk veel vertrouwen in dat die ook securitybulletins zien of er via de media over horen.
Aanval en verdediging is (nog) beter voorbereid
Log4Shell kwam als een verrassing voor de IT-wereld. Enorme ‘spray-and-pray’-aanvallen leidden tot miljoenen scans per uur vanuit zowel botnets (zoals Mirai) als hackers zelf. Door diepe nesteling in dependencies (‘dependencies van dependencies’) konden ogenschijnlijk veilige applicaties kwetsbaar zijn zonder dat beheerders zich ervan bewust waren. Web application firewall (WAF)-regels moesten als reactie hierop in alle haast worden ingesteld. De positieve kant van het verhaal: de welhaast apocalyptische waarschuwingen van securityonderzoekers hadden veelal effect. De impact is voor een dermate bekende kwetsbaarheid eigenlijk wat onduidelijk. De reactie erop, via het uitvoeren van patchen, het zoeken naar kwetsbare componenten of het mitigeren van aanvallen, kostte securityteams soms tienduizenden uren.
Dit is een ander verhaal bij de al meer beperkte impact van React2Shell. Het grote voordeel is dat alles erop wijst dat de onthulling ervan door het Meta-securityteam vóór exploits plaatsvond. Grote cloudproviders zoals AWS, Cloudflare en Vercel hadden WAF-regels klaarstaan. Een framework-update via ‘npm update’ is tevens iets waar developers aan gewend zijn.
De AWS-analyse van exploitatie kort na de onthulling van React2Shell laat zien dat aanvallers geavanceerder zijn en sneller optreden bij een dergelijke kwetsbaarheid. Het lijkt erop dat staatsactoren inmiddels een vrij gedetailleerd draaiboek hebben klaarliggen voor exploiteerbare software. Aangezien er altijd trage patchers zijn, is de kans ook groot dat er in de nabije toekomst nog meer slachtoffers vallen. Geavanceerde staatshackers hebben wellicht nu al beet, maar moeten nog uitvogelen hoe ze lateraal bewegen door een netwerk van een vooralsnog onbekend slachtoffer.
Conclusie: securitywereld is bij de les, maar dit was slechts een waarschuwing
Log4Shell zette IT-teams en securityteams in het bijzonder op scherp. De impact ervan had erger kunnen zijn, maar de schaal ervan was ongeëvenaard en de operationele impact kostte talloze uren voor securityteams. Ook nu is React2Shell geen ‘waardige’ opvolger. Het is een compacter en overzichtelijker gevaar, maar kan voor een enkel slachtoffer even schadelijk zijn met downtime, datalekken en/of enorme financiële schade tot gevolg. Het moet niet onderschat worden en de mate waarin CVE-2025-55182 bij frontend-systemen aanwezig blijft, is een goede graadmeter voor de patchsnelheid van developers wereldwijd.
Als ‘worst case scenario’ was Log4Shell een stresstest voor securityteams. Door de gecoördineerde onthulling van React2Shell konden zij nu tijdig reageren en werden ze soms al op voorhand beschermd omdat ze bijvoorbeeld enkel in de public cloud instances draaien. Door de moderne aard van React en Next.js is deze kwetsbaarheid dan ook eenvoudiger op te lossen. Het is in feite een applicatiecrisis in plaats van een infrastructuurcrisis. Cyberexperts zullen blijven meten wat de impact van React2Shell wordt, en we houden het in de gaten.
Lees ook: Meta slaat alarm: React Server Components bevat ernstige kwetsbaarheid