В свете новых сообщений о том, как злоумышленники эксплуатируют уязвимость (CVE-2025-55182) в библиотеке JavaScript React, технический директор Cloudflare заявил, что его компания приняла решение отключить собственную сеть, что привело к масштабному сбою в работе в ранние часы пятницы для устранения React2Shell.
Сбой сети, затронувший около 28% HTTP-трафика, обслуживаемого Cloudflare, и приведший к временной недоступности сайтов по всему миру, “не был вызван напрямую или косвенно кибератакой на системы Cloudflare или каким-либо видом вредоносной деятельности”, – сообщил в пятничном блоге технический директор Cloudflare Дэн Кнахт.
“Вместо этого он был спровоцирован изменениями в логике разбора данных, которые были внесены в процессе попытки обнаружения и смягчения отраслевой уязвимости раскрытой на этой неделе в React Server Components”, – добавил он.
Проблемы Cloudflare следуют за многочисленными сообщениями от специалистов по анализу угроз о том, что злоумышленники активно эксплуатируют критическую уязвимость React2Shell, и в интернете циркулирует несколько proof-of-concept (PoC) – одни работают, другие – нет – все они появились всего через несколько часов после публичного раскрытия ошибки.
Все это подчеркивает повсеместность кода с открытым исходным кодом, лежащего в основе интернета, и, по мнению хотя бы одного руководителя по поиску угроз, должно побудить сообщество безопасности пересмотреть весь процесс раскрытия информации.
“Возможно, нам следует больше доверять сообществу безопасности и поставщикам безопасности, чтобы они действовали быстро и предоставляли меры по смягчению последствий до того, как злоумышленники будут готовы к эксплуатации в глобальном масштабе”, – заявил вице-президент по анализу угроз компании Radware Паскаль Гиненс изданию The Register. “Это гонка, но больше поставщиков безопасности смогут победить, если у них будет доступ к полной и точной информации”.
Цепная реакция
Вот что нам известно на данный момент об CVE, кто им злоупотребляет, и о работающих proof-of-concept (PoC), а также о тех, что не работают.
В среду команда React сообщила об ошибке, получившей оценку 10.0 CVSS, представляющей собой уязвимость небезопасной десериализации, которая теперь носит название React2Shell, данное ей Лохланом Дэвидсоном, исследователем, обнаружившим и сообщившим об ошибке. Ошибка легко поддается эксплуатации: она не требует аутентификации и позволяет удаленным злоумышленникам выполнять вредоносный код на уязвимых экземплярах.
Она также затрагивает React-фреймворки и bundlers, в частности, веб-разработочный фреймворк Next.js.
Мы зафиксировали сканирование в поисках уязвимостей для удаленного выполнения кода (RCE), разведывательную активность, попытки кражи файлов конфигурации и учетных данных AWS, а также установку загрузчиков для получения полезной нагрузки из инфраструктуры управления и контроля злоумышленников
Как сообщили в британском правительстве в четверг, CVE-2025-55182 находится под активной эксплуатацией, и было отмечено несколько рабочих PoC в сети. Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило ошибку в свой каталог известных уязвимостей, которые эксплуатируются.
Также в четверг Amazon выпустил оповещение и предупредил о том, что группы, поддерживаемые Пекином, начали атаковать критическую уязвимость через несколько часов после публикации, ссылаясь на “активные попытки эксплуатации со стороны нескольких групп-угроз, связанных с Китаем, включая Earth Lamia и Jackpot Panda”.
Другие специалисты по поиску угроз сообщают о схожей эксплуатации React2Shell.
“Мы отслеживаем группы, предположительно связанные с КНР, и продолжаем расследовать и подтверждать активность”, – сказал Джастин Мур, старший менеджер по исследованиям в области угроз в Palo Alto Network’s Unit, изданию The Register в пятницу.
“По состоянию на сегодня Unit 42 подтвердил ряд затронутых организаций в различных секторах”, – сказал Мур. “Мы зафиксировали сканирование в поисках уязвимостей для удаленного выполнения кода (RCE), разведывательную активность, попытки кражи файлов конфигурации и учетных данных AWS, а также установку загрузчиков для получения полезной нагрузки из инфраструктуры управления и контроля злоумышленников.”
Между тем, компания Bitdefender предсказывает: “Группы, предлагающие Ransomware-as-a-Service (RaaS), и Initial Access Brokers (IAB) быстро превратят этот сбой в инструмент для захвата позиций в корпоративных сетях, как только будет опубликован PoC”.
По словам Дэвидсона, рабочий PoC начал распространяться примерно через 30 часов после раскрытия ошибки, и он поделился своими PoC через несколько часов, а полные описания скоро появятся.
Хакер maple3142 опубликовал один из этих PoC в GitHub, и тестеры Ox Security подтвердили, что он работает. “Это показывает, что эта уязвимость не только теоретическая, но и на самом деле очень рискованная и должна быть немедленно устранена в ваших интернет-ориентированных сервисах”, – заявили Нир Задок и Моше Симан Тов Bustan в пятницу.
Тем не менее, как отметили Дэвидсон и другие исследователи, также распространяются поддельные PoC.
“Все, что требует от разработчика явного предоставления клиенту опасной функциональности, не является допустимым PoC”, – написал Дэвидсон. “Общие примеры в предполагаемых «PoC» – vm#runInThisContext, child_process#exec и fs#writeFile. Это было бы возможно только в том случае, если бы вы сознательно выбрали предоставление клиентам возможности вызывать это, что было бы опасно независимо от того, что”.
Что это говорит об ответственном раскрытии информации
Эти недействительные PoC, а также ограниченные сведения о самой эксплуатации, могли предоставить злоумышленникам преимущество, по мнению Гиненаса. Это особенно верно “когда задействовано программное обеспечение с открытым исходным кодом, поскольку любой может получить доступ к деталям изменений кода, необходимых для устранения уязвимости”, – сказал он изданию The Register.
Гиненас не винит Дэвидсона в том, что он ждал, прежде чем поделиться дополнительными сведениями или опубликовать свои PoC. “Многие исследователи безопасности поступили бы точно так же, пытаясь выиграть время для сообщества безопасности для разработки средств защиты и для организаций для развертывания обновления, прежде чем начнется широкомасштабная эксплуатация в реальном мире”, – сказал он.
Но, – добавил он, – сообщения о быстрых попытках эксплуатации со стороны AWS и других предполагают, что нам, возможно, придется пересмотреть эту стратегию.
Киберспециалисты, поддерживаемые государством, обладают опытом взлома и большими финансовыми возможностями, необходимыми для быстрого создания эксплойтов на основе ограниченной информации, пояснил Гиненас.
“Отсутствие деталей об эксплуатации может предоставить им преимущество, необходимое для опережения некоторых организаций в их защите”, – сказал он. “Ограниченная информация привела к распространению неточных предположений и недостоверной информации в сообществе, что потенциально влияет на меры по смягчению последствий, принятые некоторыми организациями, и создает у них ложное чувство безопасности”. ®
Автор – Jessica Lyons
