Устранение уязвимости React2Shell в серверной части React и фреймворке Next.js, используемых в корпоративных IT-средах, стало еще более актуальным, поскольку появились сообщения об эксплуатации уязвимости в реальном времени.
Исследователи из Greynoise сообщили сегодня, что наблюдают «благоприятные, в основном автоматизированные попытки эксплуатации», направленные на использование уязвимости небезопасной десериализации в React Server Components (RSC).
По имеющимся данным, изначально акцент делается на атаке только этой уязвимости, но «мы уже зафиксировали медленный процесс добавления этой уязвимости в наборы для эксплуатации Mirai и других ботнетов».
Первоначальные попытки получения доступа используют общедоступный код доказательства концепции (PoC) в качестве основы, сообщает Greynoise, а этапы 1 включают в себя выполнения зондов доказательства выполнения (PoE) (например, арифметические операции PowerShell) для быстрой проверки RCE и использования закодированных этапов загрузки и выполнения PowerShell. Затем этап 2 использует отражение для установки System.Management.Automation.AmsiUtils.amsiInitFailed = true (стандартный обход AMSI) и запускает следующий этап с помощью iex.
Команда исследователей безопасности JFrog также сегодня сообщила об обнаружении рабочего доказательства концепции, приводящего к выполнению кода, и они, а также другие, сообщили об обнаружении поддельных PoC, содержащих вредоносный код, на GitHub. «Команды безопасности должны проверять источники перед тестированием [этих PoC]», — предостерегает JFrog.
Амитай Коэн, руководитель группы аналитики векторов атак в Wiz, также сообщил сегодня, что компания зафиксировала как публикации доказательств концепции, так и активные попытки эксплуатации в реальном мире. «Наши группы по борьбе с угрозами обнаружили эти попытки в средах клиентов, включая развертывание вредоносного ПО для криптоджекинга и попытки кражи учетных данных облака с скомпрометированных машин», — сообщил он по электронной почте.
Отчет Greynoise следует за отчетом новозеландского исследователя Лэклана Дэвидсона, который обнаружил уязвимости и обнаружил, что реальное доказательство концепции начало распространяться примерно через 30 часов после того, как разработчики React сообщили об уязвимостях.
Отдельно Amazon сообщила, что ее группы по анализу угроз заметили активные попытки эксплуатации со стороны нескольких китайских групп, связанных с государственными структурами, включая Earth Lamia и Jackpot Panda.
AWS развернула несколько уровней автоматической защиты, включая межсетевой экран веб-приложений AWS (AWS WAF). Однако компания подчеркивает, что эти меры защиты не являются заменой применения патчей, даже для IT-отделов, использующих React или Next.js в среде Amazon.
Связанный контент: Межсетевой экран Cloudflare отреагировал негативно на смягчение последствий эксплуатации React
При эксплуатации уязвимости, отслеживаемой как CVE-2025-55182 в React RCS и CVE-2025-66478, специально для фреймворка Next.js, злоумышленник может удаленно выполнять вредоносный код.
React, поддерживаемый Meta, — это библиотека с открытым исходным кодом для создания пользовательских интерфейсов приложений. Существует несколько фреймворков, которые строятся на основе React, и Next.js является одним из самых популярных среди разработчиков, поэтому эксплуатация уязвимости в RCS может распространиться на эти фреймворки.
Критическая уязвимость в React Server Components имеет максимальный балл CVSS (Common Vulnerability Scoring System) — 10. Подвержены влиянию версии React 19.x и версии Next.js 15.x и 16.x при использовании App Router.
Конкретная проблема связана с протоколом Flight RCS, используемым для связи с клиентами, такими как браузеры. RCS, как отмечает Greynoise, является ценной целью, поскольку он располагается перед логикой приложения, которая часто работает с разрешениями производственной среды.
«Благодаря таким сервисам, как BuiltWith/Wappalyzer, открытые сервисы легко найти и эксплуатировать в масштабе», — предупреждает Greynoise.
Однако есть некоторые нюансы в этих ранних отчетах о доказательствах концепции.
Дэвидсон отметил, что нулевые защиты от некоторых поставщиков безопасности приложений на самом деле являются защитой на уровне времени выполнения, а не просто правилами межсетевого экрана веб-приложений. Это означает, что многие клиенты с теоретически уязвимыми версиями все равно защищены, — написал он.
Amazon добавила, что анализ данных из ее ловушек показывает постоянный характер некоторых попыток эксплуатации. В одном примечательном примере неопределенная группа угроз, связанная с IP-адресом 183[.]6.80.214, потратила почти час в четверг на систематическую отладку попыток эксплуатации.
Это включало 116 общих запросов, направленных на целевой объект в течение 52 минут, попытки размещения нескольких полезных нагрузок эксплуатации, попытки выполнения команд Linux, попытки записи файлов в /tmp/pwned.txt и попытки чтения /etcpasswd.
«Это поведение демонстрирует, что злоумышленники не только выполняют автоматизированное сканирование, — говорится в заявлении Amazon, — но и активно отлаживают и совершенствуют свои техники эксплуатации против живых целей».
Эдгар Куссберг, руководитель проекта по разработке инструментов ИИ и разработки в Sonar, посоветовал, чтобы для снижения атак разработчики или команды InfoSec:
- проводили анализ: — развертывайте тесты для обнаружения уязвимого кода и неправильных конфигураций до того, как этого сможет сделать злоумышленник;
- получайте чистый сигнал: — сосредоточьтесь на выявлении и устранении истинно положительных результатов и наиболее серьезных уязвимостей;
- проверяйте код на соответствие обновленным правилам: — убедитесь, что все защитное программное обеспечение обновлено последними правилами, разработанными для обнаружения и выявления конкретного шаблона React2Shell, а не только общих параметров.
Автор – Howard Solomon
