Cloudflare atribui outage a correção defeituosa para falha React2Shell

A Cloudflare confirmou que a queda massiva registrada na madrugada de sexta-feira foi provocada por uma tentativa mal-sucedida de corrigir a vulnerabilidade crítica React2Shell (CVE-2025-55182), que vem sendo explorada intensamente por hackers desde sua divulgação. Segundo a empresa, cerca de 28% do tráfego HTTP mundial foi impactado, fazendo sites de todos os tamanhos ficarem temporariamente fora do ar.

De acordo com o diretor de tecnologia da Cloudflare, Dane Knecht, o incidente não teve relação com ataque hacker ou atividade maliciosa contra a empresa. “A falha foi causada internamente, durante mudanças em nossa lógica de parsing de requisições, implementadas para detectar e mitigar a vulnerabilidade recém-divulgada nos React Server Components”, afirmou em publicação oficial. A pressa para blindar a infraestrutura diante da exploração internacional da falha acabou desencadeando o apagão.

A vulnerabilidade React2Shell, descoberta pelo pesquisador Lachlan Davidson e avaliada com pontuação 10.0 no CVSS, permite que um invasor execute código remoto sem autenticação em aplicações que utilizam a biblioteca React e frameworks correlatos, como Next.js. A falha desencadeou uma avalanche de exploração: provas de conceito funcionais (e outras falsas) começaram a circular poucas horas após a divulgação da falha, enquanto grupos hackers ligados ao governo chinês, incluindo Earth Lamia e Jackpot Panda, iniciaram varreduras e ataques direcionados.

Dezenas de equipes de inteligência global vêm detectando atividades como reconhecimento, tentativas de roubo de credenciais AWS, coleta de arquivos de configuração e instalação de downloaders conectados a infraestrutura de comando e controle. Segundo a CISA, o bug entrou na lista de vulnerabilidades ativamente exploradas em tempo recorde. Analistas alertam ainda que grupos de ransomware e corretores de acesso inicial estão próximos de automatizar ataques baseados nessa falha.

Enquanto POCs legítimas começaram a surgir, uma enxurrada de códigos falsos se espalhou rapidamente, confundindo equipes de TI. Davidson reforçou que muitos desses POCs “não representam exploração real” e dependem de funcionalidades perigosas que somente seriam acionadas caso o próprio desenvolvedor tivesse exposto métodos críticos ao cliente, o que não se aplica à maioria das aplicações. Apesar disso, a circulação de PoCs falsos criou uma falsa sensação de segurança em algumas organizações.

O episódio reacendeu debates sobre o modelo de divulgação responsável de vulnerabilidades, especialmente no ecossistema de código aberto. Para Pascal Geenens, da Radware, talvez seja hora de repensar a dinâmica de divulgação limitada: “Governos e grupos hackers com grande capacidade técnica conseguem desenvolver exploits rapidamente, mesmo com poucas informações. Já defensores e provedores de segurança, sem detalhes completos, podem reagir mais devagar e isso favorece os atacantes”. Ele destaca que a falta de clareza inicial pode ter prejudicado mitigadores e contribuído para ações de resposta menos eficazes.

A Cloudflare, por sua vez, indicou que continuará investigando o impacto total da falha interna e reforçará mecanismos de validação para evitar que ajustes emergenciais resultem em interrupções desse porte. A empresa também recomenda que organizações atualizem imediatamente seus sistemas React e frameworks associados, dada a escala de exploração já observada.

Via - TR