Половина систем, доступных из Интернета, уязвима к быстро распространяющейся уязвимости удаленного выполнения кода React и остается неотлаженной, даже несмотря на то, что эксплуатация достигла более десятка активных кластеров атак, начиная от дешевых криптомайнеров и заканчивая инструментами вторжения, связанными с государством.
Такую оценку дал Алон Шиндель, вице-президент по ИИ и исследованиям угроз в Wiz, который заявляет, что CVE-2025-55182 — уязвимость серверной части React, получившая название “React2Shell” — теперь активно эксплуатируется в больших масштабах. Исследователи отслеживают по меньшей мере 15 различных кластеров вторжений в дикой природе всего за последние 24 часа.
Согласно последним телеметрическим данным Wiz, примерно 50 процентов общедоступных уязвимых ресурсов по-прежнему используют неотлаженный код, что дает злоумышленникам значительное преимущество.
Критическая уязвимость, впервые раскрытая в начале этого месяца, затрагивает React Server Components и зависимые фреймворки, такие как Next.js. Она вызвана небезопасной десериализацией в серверных пакетах React, что позволяет неаутентифицированному злоумышленнику отправить специально сформированный запрос для достижения удаленного выполнения кода. Как ранее сообщал The Register, ошибка быстро привлекла внимание злоумышленников из-за повсеместного использования React в современных веб-стеках, особенно в облачных средах, где один открытый конечный точка может обеспечить плацдарм для гораздо более крупных систем.
То, что начиналось как оппортунистическое сканирование и криптомайнинг, теперь переросло во что-то более опасное. Wiz сообщает о четком разделении между “массовой” эксплуатацией, представленной знакомыми криптомайнинговыми операциями с использованием таких инструментов, как Kinsing, C3Pool и пользовательских загрузчиков, и более целенаправленными наборами вторжений, развертывающими фреймворки пост-эксплуатации и специализированное вредоносное ПО.
Среди наблюдаемых кластеров — кампании на основе Python, маскирующиеся под дропперы майнеров, но при этом тихо эксфильтрующие секретные данные; инфраструктура командно-контрольной связи Sliver, используемая для операций “с клавиатурой”; и инжектор JavaScript-файлов, который систематически заражает каждый серверный *.js-файл, до которого может добраться. Wiz также сообщает о повторном появлении вариантов бэкдора EtherRat — семейства вредоносных программ, которое ранее вышло из моды, но, похоже, было “поднято из пыли” для этой волны эксплуатации.
Техническая изощренность также растет. Множество злоумышленников активно пытаются затруднить реагирование на инциденты, манипулируя временными метками, минимизируя журналы и иным образом стирая следы компрометации. Эти методы противодействия криминалистике, как предупреждает Wiz, указывают на операторов, ожидающих преследования и намеревающихся остаться незамеченными.
Другие фирмы по безопасности теперь подтверждают эту оценку. Команда Unit 42 из Palo Alto Networks связала эксплуатацию CVE-2025-55182 с северокорейскими и китайскими группами угроз. Они не стали приписывать это какому-либо одному злоумышленнику, но заявили, что используемые инструменты и инфраструктура больше похожи на долгосрочные операции вторжения, чем на быстрый криптомайнинг.
“Unit 42 выявила активность, которая, по сообщениям, имеет пересечения с северокорейскими (КНДР) инструментами Contagious Interview, хотя формальной атрибуции на данный момент не проводилось. Contagious Interview — это кампания, в рамках которой злоумышленники, связанные с КНДР, выдают себя за рекрутеров для установки вредоносного ПО на устройства соискателей работы в сфере технологий”, — говорится в сообщении Unit 42. “Кроме того, мы наблюдали случаи использования бэкдора BPFDoor для Linux. Это имплантат для Linux, приписываемый китайской группе угроз Red Menshen”.
Доминирование React означает, что уязвимый код находится не только в малоизвестных любительских проектах, но и в производственных системах стартапов, корпораций и организаций с высокой зависимостью от облачных технологий. Многие из этих развертываний по своей природе доступны из Интернета, и исправление не всегда является простым.
Как и во многих современных веб-уязвимостях, опасность заключается не только в самой ошибке, но и в том, как быстро она становится индустриализированной. React2Shell уже пересекла эту черту, и поскольку половина уязвимой поверхности все еще открыта, у злоумышленников пока мало стимулов двигаться дальше. ®
Автор – Carly Page
