![[Link esterno] Sito internet - Provincia autonoma di Bolzano - Alto Adige](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Attori malevoli sfruttano la vulnerabilità React2Shell per dirottare il traffico web attraverso server NGINX compromessi
Ricercatori di sicurezza hanno evidenziato una campagna attiva di dirottamento del traffico web che sfrutta la vulnerabilità critica conosciuta come React2Shell (CVE-2025-55182, punteggio di gravità 10.0) in componenti di React Server Components e framework associati, come Next.js. Il difetto consente l’esecuzione di codice arbitrario su server vulnerabili senza autenticazione.
Secondo Datadog Security Labs, gli aggressori stanno prendendo di mira in particolare installazioni di NGINX e pannelli di gestione come Baota (BT), sfruttando l’accesso ottenuto tramite React2Shell per inserire configurazioni malevoli nei file di NGINX. Queste modifiche consentono di catturare e reindirizzare il traffico web legittimo verso server sotto il controllo dell’attaccante.
Il toolkit utilizzato dagli aggressori impiega script shell automatizzati che cercano percorsi di configurazione comuni di NGINX e generano file di configurazione con direttive proxy_pass malevole. In pratica, il traffico in entrata verso determinati URL viene intercettato e instradato verso domini controllati dai criminali, permettendo potenzialmente la diffusione di contenuti phishing, malware o l’intercettazione di dati delle sessioni web.
Questa attività è stata osservata soprattutto su domini di primo livello (TLD) legati a organizzazioni in Asia (.in, .id, .pe, .bd, .th), infrastrutture di hosting in Cina e domini istituzionali come .gov e .edu.
La campagna rappresenta un’evoluzione significativa nel modo in cui React2Shell viene sfruttato: dagli usi iniziali orientati all’installazione di cryptominer o reverse shell, ora gli aggressori si concentrano su tattiche di “man-in-the-middle” sul traffico web.
Raccomandazioni di sicurezza
- Applicare immediatamente le patch e gli aggiornamenti per tutte le componenti React/Next.js vulnerabili a React2Shell.
- Controllare l’integrità delle configurazioni di NGINX, verificando eventuali modifiche non autorizzate ai file di configurazione.
- Monitorare il traffico di rete per individuare redirect o anomalie di instradamento verso domini sospetti.
- Isolare e analizzare i server compromessi, ripristinando configurazioni sicure e rimuovendo eventuali script malevoli persistenti.
SOC
Altri comunicati stampa di questa categoria
- Nuova campagna ClickFix usa ingegneria sociale per diffondere malware tramite prompt ingannevoli (19/02/2026, 23:00)
- Microsoft corregge una vulnerabilità ad alta gravità in Windows Admin Center che consente l’elevazione di privilegi (19/02/2026, 23:00)
- Gruppo di cyber-spionaggio con supporto statale compromette reti governative e infrastrutture critiche in 37 Paesi (05/02/2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)