Amazon предупредила, что группы хакеров, связанных с Китаем, начали активно эксплуатировать критическую уязвимость React “React2Shell” сразу после её обнаружения, превратив теоретическую брешь CVSS-10 в реальный инцидент практически мгновенно.
В новом сообщении AWS сообщила, что её команды по анализу угроз «заметили активные попытки эксплуатации со стороны нескольких групп киберугроз, связанных с государством Китай, включая Earth Lamia и Jackpot Panda».
Эти попытки были зафиксированы благодаря MadPot, сети “ловушек” Amazon, которая зафиксировала сканирование и трафик эксплуатации, связанный с инфраструктурой, ранее привязанной к операторам, поддерживаемым Пекином.
Злоумышленники, известные эксплуатацией ошибок веб-приложений для атак на организации, уже начали рассылать специально созданные HTTP-запросы, основанные на общедоступных концепциях доказательства (proof-of-concept), по словам Amazon.
«Китай продолжает быть самым активным источником спонсируемой государством киберугрозы, при этом злоумышленники регулярно используют публичные эксплойты в течение нескольких часов или дней после их обнародования», – написал CJ Moses, директор по безопасности и вице-президент по инженерному обеспечению безопасности в Amazon. «Благодаря мониторингу в нашей инфраструктуре “ловушек” AWS MadPot, команды по анализу угроз Amazon выявили как известные группы, так и ранее не отслеженные кластеры угроз, пытающиеся использовать CVE-2025-55182».
Это открытие добавляет срочности предупреждениям ранее на этой неделе о CVE-2025-55182, критической уязвимости в React Server Components и зависимых фреймворках, таких как Next.js. Ошибка связана с небезопасной десериализацией внутри серверных пакетов React, позволяя неаутентифицированному злоумышленнику отправлять специально сформированный запрос и выполнять удалённое исполнение кода без какой-либо аутентификации.
Google-owned Wiz оценивает, что примерно 39% облачных сред все еще использовали уязвимые версии ранее на этой неделе, а доминирование React в современном вебе делает потенциальный радиус поражения огромным.
Открытие AWS о том, что государственные хакеры уже воспользовались ошибкой, ясно показывает, насколько быстро ситуация ухудшилась. Технологический гигант заявил, что развернул меры по смягчению последствий в своих управляемых службах, но повторил, что они «не являются заменой для исправления». Пользователям, использующим React или Next.js на EC2, в контейнерах или на инфраструктуре с самостоятельным управлением, настоятельно рекомендуется немедленно обновить программное обеспечение.
Не все в отрасли убеждены, что реакция была пропорциональной. Наблюдатель за вопросами безопасности Кевин Бомонт предупредил, что некоторые части сектора впадают в панику, заявив, что «отрасль кибербезопасности чрезмерно реагирует на уязвимость React – начинает панику, сжигает собственный дом снова». Его мнение заключается в том, что, хотя уязвимость серьёзна, и исправление является обязательным, широкие аварийные изменения со стороны организаций, не подвергающих уязвимые конечные точки, рискуют вызвать самодекларируемые сбои.
Одна крупная компания уже столкнулась с этим, по словам Бомонта, который утверждает, что сбой Cloudflare в пятницу – да, еще один – был результатом того, что компания «вывела из строя свою собственную систему, пытаясь выявить очень нишевую уязвимость».
React выпустил исправленные версии в день обнаружения уязвимости, охватывающие все затронутые серверные пакеты. Но почти мгновенное появление вредоносного трафика означает, что любая организация, которая отложила исправление, должна предполагать, что её системы уже были проверены.
С учётом того, что хакеры, поддерживаемые государством, теперь включены, и, вероятно, последуют за ними спекулятивные преступники, так называемое окно исправления сократилось до нуля.®
Автор – Carly Page
