Специалисты по кибербезопасности предупреждают о масштабных и активно развивающихся атаках, эксплуатирующих критическую уязвимость CVE-2025-55182, известную как React2Shell. Уязвимость затрагивает React Server Components и популярные фреймворки, включая Next.js, позволяя злоумышленникам выполнять произвольный код на удаленных серверах без аутентификации. Спустя считанные часы после публичного раскрытия данных об уязвимости 3 декабря 2025 года, началась волна сканирования и попыток эксплуатации, в которой участвуют как продвинутые угрозы (APT), связанные с государственными интересами, так и криминальные группировки.
Описание
Уязвимость CVE-2025-55182 возникает из-за небезопасной десериализации в протоколе Flight, который используется React Server Components. Эта проблема затрагивает React версий с 19.0 по 19.2 и ряд релизов Next.js, что делает потенциально уязвимыми сотни тысяч экземпляров в интернете. Исследователи из Palo Alto Networks Unit 42 отмечают, что эксплуатация уязвимости начинается с автоматических зондирующих запросов для идентификации уязвимых конечных точек. После успешного проникновения злоумышленники немедленно запускают рекогносцировку, выполняя базовые команды для сбора информации о системе, уровнях привилегий и сетевых интерфейсах.
Последующая активность после взлома демонстрирует широкий спектр угроз. Киберпреступники в основном нацелены на развертывание криптомайнеров, таких как XMRig, для несанкционированного майнинга Monero. Однако более серьезную опасность представляют действия государственных хакеров. Специалисты наблюдали развертывание бекдоров (backdoor), туннелей и удаленных троянов (RAT), предназначенных для долгосрочного контроля над системами, кражи данных и перемещения по корпоративной сети.
Особую озабоченность вызывает скорость, с которой различные APT-группы интегрировали эксплойт в свои кампании. Например, группа UNC5342, связанная с КНДР, начала развертывание трояна EtherRAT уже через два дня после раскрытия уязвимости. Китайские государственные хакеры также действовали оперативно. Группа Earth Lamia, известная атаками на организации в Латинской Америке, на Ближнем Востоке и в Юго-Восточной Азии, предприняла попытки эксплуатации в первые же часы.
Аналогично, группа Jackpot Panda, также связанная с Китаем и занимающаяся кибершпионажем, быстро начала сканирование и атаки. Эксперты отмечают, что эти группы используют публичные доказательства концепции (PoC), автоматизированные сканеры с тактиками уклонения и проводят кампании с использованием нескольких уязвимостей одновременно. Другие китайские группы, такие как UNC5174 (Uteus), действуют как брокеры начального доступа, используя React2Shell для установки загрузчика SNOWLIGHT, который, в свою очередь, доставляет более сложные полезные нагрузки, включая троян VShell для удаленного контроля.
Помимо этих групп, аналитики Google Threat Intelligence Group сообщают о вовлеченности других китайских угроз, включая UNC6586, UNC6588 и UNC6603, которые развертывали различные бекдоры и туннели. Инфраструктура, связанная с китайской сетью анонимизации HiddenOrbit (RedRelay), также использовалась для сканирования и эксплуатации данной уязвимости. Основным средством смягчения последствий остается немедленное применение патчей. Разработчики уже выпустили исправленные версии React (19.0.1 и выше) и Next.js (патченные релизы веток 15.x и 16.x).
Специалисты настоятельно рекомендуют всем организациям, использующим уязвимые версии, применить обновления в приоритетном порядке. Однако, учитывая активные атаки, одного патчинга может быть недостаточно. Эксперты советуют внедрять многоуровневую защиту для обнаружения посткомпромиссного поведения. Мониторинг сетевой активности и подозрительных процессов, особенно связанных с криптомайнингом или удаленными оболочками, может помочь выявить уже скомпрометированные системы. Текущая ситуация с CVE-2025-55182 наглядно демонстрирует, как критическая уязвимость в широко распространенном компоненте мгновенно привлекает внимание разнообразных угроз, от криминальных ботнетов до изощренных государственных хакеров, делая оперативное реагирование критически важным для безопасности.
Индикаторы компрометации
SHA256
- 1663d98c259001f1b03f82d0c5bee7cfd3c7623ccb83759c994f9ab845939665
- 33641bfbbdd5a9cd2320c61f65fe446a2226d8a48e3bd3c29e8f916f0592575f
- 4a759cbc219bcb3a1f8380a959307b39873fb36a9afd0d57ba0736ad7a02763b
- 55ae00bc8482afd085fd128965b108cca4adb5a3a8a0ee2957d76f33edd5a864
- 62e9a01307bcf85cdaeecafd6efb5be72a622c43a10f06d6d6d3b566b072228d
- 7e0a0c48ee0f65c72a252335f6dcd435dbd448fc0414b295f635372e1c5a9171
- 7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0e11a317e6fedc694de37737a
- 8067c9bf0ca1a67352fc7b8c9cc99fed8d9f3f57246712a6cd692edc4b66d323
- 858874057e3df990ccd7958a38936545938630410bde0c0c4b116f92733b1ddb
- a455731133c00fdd2a141bdfba4def34ae58195126f762cdf951056b0ef161d4
- aa315ec8f84aa33b84b7c920cb9b9f91a5485321ce16d198efec1abc604f8e3a
- E38362aca79b16d588174e64a33cc688504c845d882624243fde90abd578bd7d
