Microsoft сообщает, что злоумышленники уже скомпрометировали «несколько сотен машин в разнообразном наборе организаций» через уязвимость React2Shell, используя полученный доступ для выполнения кода, развертывания вредоносного ПО и, в некоторых случаях, доставки программ-вымогателей.
В записи в блоге на этой неделе редмондская компания заявила, что злоумышленники активно используют CVE-2025-55182, более известную как React2Shell, критическую уязвимость в React Server Components, которую можно использовать для выполнения произвольного кода на уязвимых серверах.
По данным команды Microsoft по анализу угроз, эксплуатация уже вышла далеко за рамки стадии доказательства концепции, подтверждено сотни скомпрометированных систем в различных секторах и регионах.
Компания сообщила, что злоумышленники злоупотребляют этой уязвимостью для выполнения произвольных команд, внедрения вредоносного ПО и более глубокого проникновения в инфраструктуру жертв, часто маскируя свою активность под легитимный трафик приложений.
React2Shell впервые привлекла внимание в начале этого месяца, когда исследователи предупредили, что ошибка в React Server Components может быть использована для выполнения кода, контролируемого злоумышленником. Ошибка была быстро объединена с другими уязвимостями и неправильными конфигурациями, при этом ранние кампании были связаны с активностью, исходящей из Китая и Ирана, которые массово сканировали уязвимые серверы. Отдельная волна раскрытий, последовавшая через несколько дней, выявила дополнительные ошибки «SecretLeak» в инструментах React, что еще больше обеспокоило разработчиков, которые только начали осознавать масштаб последствий React2Shell.
Последние выводы Microsoft свидетельствуют о резком росте попыток эксплуатации после публичного раскрытия: злоумышленники использовали успешные эксплойты для установки вредоносного ПО, включая загрузчики, работающие в памяти, и майнеры криптовалют, на уязвимые бэкенды JavaScript-приложений.
Другие команды по анализу угроз фиксируют ту же картину. Фирма по кибербезопасности S-RM сообщила, что уже отреагировала на реальное вторжение, в ходе которого React2Shell использовалась в качестве вектора первоначального доступа для взлома корпоративной сети и развертывания программы-вымогателя.
«Это первый случай, когда S-RM зафиксировала использование этой уязвимости злоумышленниками, мотивированными финансовой выгодой, для осуществления кибератаки с целью вымогательства, и это свидетельствует об эскалации известного воздействия этой уязвимости по сравнению с другими публичными сообщениями, которые до сих пор в основном документировали случаи использования уязвимости для внедрения бэкдор-вредоносного ПО или майнеров криптовалют», — заявила компания.
Телеметрия также указывает на промышленный масштаб злоупотреблений. Эндрю Моррис, основатель GreyNoise, написал в LinkedIn, что эксплуатация остается интенсивной спустя недели после раскрытия.
«React2Shell продолжает активно использоваться, по нашим данным в GreyNoise Intelligence», — сказал Моррис. «Мы продолжаем фиксировать довольно большое количество различных вредоносных нагрузок. Эксплуатация остается на очень высоком уровне, при этом количество совокупных сетей, эксплуатирующих эту уязвимость, почти каждый день с момента раскрытия достигает рекордных показателей».
Масштаб отражает широкое распространение React Server Components. Разработанная для переноса рендеринга на сервер с целью повышения производительности, эта технология теперь встроена в бесчисленное количество реальных приложений, при этом, по одной из оценок, 39 процентов облачных сред уязвимы к ошибке React2Shell.
Точное число известных жертв React2Shell пока не установлено, но Palo Alto Networks подтвердила, что на данный момент скомпрометировано более 50 организаций. Однако реальная цифра, вероятно, намного выше, поскольку на прошлой неделе исследователи предупредили, что половина систем, уязвимых к этой ошибке, остаются неотлаженными.
Организациям, которые все еще пытаются принять меры, Microsoft настоятельно рекомендует установить доступные исправления, провести аудит развернутых React Server Component и отслеживать признаки эксплуатации. Поскольку эксплуатация продолжает набирать обороты, а установка исправлений не завершена, React2Shell остается открытой для злоупотреблений. ®
Автор – Carly Page
