Вскоре после публикации рабочего концепта (Proof-of-Concept, PoC) для критической уязвимости CVE-2025-55182 в React Server Components начались её активные эксплуатации в дикой природе. Специалисты «Лаборатории Касперского» зафиксировали, что их сенсоры-приманки (ханипоты) стали целью массовых атак. Первые попытки были отмечены 5 декабря, а уже к 8 декабря их количество кратно возросло и продолжает увеличиваться, что подтверждает высокий интерес злоумышленников к этой проблеме безопасности.
Описание
Уязвимость, благодаря простоте эксплуатации и доступности PoC, быстро привлекла внимание различных вредоносных кампаний. Атаки начинаются с разведки: злоумышленники первым делом проверяют, не являются ли их цели сенсорами-приманками. Для этого они выполняют ряд простых команд вроде "whoami", математических операций или вычисления хешей, чтобы убедиться в возможности выполнения произвольного кода на атакуемой системе.
После успешной проверки в большинстве случаев следует этап доставки вредоносного ПО (payload). Злоумышленники активно используют консольные утилиты "wget" или "curl" для загрузки файлов. Часть атак нацелена на Windows-системы, куда доставляется скрипт на PowerShell, устанавливающий криптомайнер XMRig для добычи Monero. Это классический пример использования уязвимости для незаконного получения дохода.
Широкий спектр угроз, использующих CVE-2025-55182, простирается от известных семейств вроде Mirai и Gafgyt до ботнета RondoDox. Последний демонстрирует особую агрессивность. Его скрипт-загрузчик сразу после проникновения в систему приступает к нейтрализации конкурентов и средств защиты. Он не только проверяет жестко заданные пути к файлам других вредоносов, но и целенаправленно пытается отключить защитные модули AppArmor и SELinux. Кроме того, он использует сложные методы для поиска и завершения процессов, связанных с удаленными ELF-файлами, что свидетельствует о высоком уровне профессионализма его создателей.
Лишь очистив систему от потенциальных помех, загрузчик RondoDox приступает к своей основной задаче. Для надежности он последовательно пытается использовать три различных инструмента загрузки: "wget", "curl" и "wget" из пакета "busybox". Также он перебирает 18 различных сборок основного вредоносного модуля, адаптированных под разные архитектуры процессоров. Такой подход позволяет ботнету эффективно заражать как интернет вещей (IoT) устройства, так и стандартные Linux-серверы с архитектурой x86_64, максимально расширяя свою сеть.
Помимо прямой установки вредоносного ПО, часть злоумышленников использует уязвимость для более тонких атак. Они пытаются похитить учетные данные, связанные с системами контроля версий Git и облачными окружениями. Успех такой операции может привести к серьезным последствиям, включая полную компрометацию облачной инфраструктуры жертвы, атаки на цепочку поставок программного обеспечения и масштабные утечки данных.
В заключение эксперты подчеркивают, что из-за простоты эксплуатации и наличия публичного PoC уязвимость CVE-2025-55182 была быстро взята на вооружение криминальными группами. Вероятнее всего, волна атак с её использованием продолжится и даже усилится в ближайшие недели. В связи с этим настоятельно рекомендуется немедленно обновить React до последней безопасной версии, выпущенной поставщиком. Также необходимо провести аудит потенциально уязвимых хостов на предмет наличия следов компрометации и вредоносного ПО, а также сменить все учетные данные, которые могли быть скомпрометированы. Своевременное применение патчей остается ключевым методом защиты от подобных угроз.
Индикаторы компрометации
URLs
- http://172.237.55.180/b
- http://172.237.55.180/c
- http://176.117.107.154/bot
- http://193.34.213.150/nuts/bolts
- http://193.34.213.150/nuts/x86
- http://23.132.164.54/bot
- http://31.56.27.76/n2/x86
- http://31.56.27.97/scripts/4thepool_miner.sh
- http://41.231.37.153/rondo.aqu.sh
- http://41.231.37.153/rondo.arc700
- http://41.231.37.153/rondo.armeb
- http://41.231.37.153/rondo.armebhf
- http://41.231.37.153/rondo.armv4l
- http://41.231.37.153/rondo.armv5l
- http://41.231.37.153/rondo.armv6l
- http://41.231.37.153/rondo.armv7l
- http://41.231.37.153/rondo.i486
- http://41.231.37.153/rondo.i586
- http://41.231.37.153/rondo.i686
- http://41.231.37.153/rondo.m68k
- http://41.231.37.153/rondo.mips
- http://41.231.37.153/rondo.mipsel
- http://41.231.37.153/rondo.powerpc
- http://41.231.37.153/rondo.powerpc-440fp
- http://41.231.37.153/rondo.sh4
- http://41.231.37.153/rondo.sparc
- http://41.231.37.153/rondo.x86_64
- http://51.81.104.115/nuts/bolts
- http://51.81.104.115/nuts/x86
- http://51.91.77.94:13339/termite/51.91.77.94:13337
- http://59.7.217.245:7070/app2
- http://59.7.217.245:7070/c.sh
- http://68.142.129.4:8277/download/c.sh
- http://89.144.31.18/nuts/bolts
- http://89.144.31.18/nuts/x86
- http://gfxnick.emerald.usbx.me/bot
- http://meomeoli.mooo.com:8820/CLoadPXP/lix.exe?pass=PXPa9682775lckbitXPRopGIXPIL
- https://api.hellknight.xyz/js
- https://gist.githubusercontent.com/demonic-agents/39e943f4de855e2aef12f34324cbf150/raw/e767e1cef1c35738689ba4df9c6f7f29a6afba1a/setup_c3pool_miner.sh
MD5
- 0450fe19cfb91660e9874c0ce7a121e0
- 3ba4d5e0cf0557f03ee5a97a2de56511
- 622f904bb82c8118da2966a957526a2b
- 791f123b3aaff1b92873bd4b7a969387
- c6381ebf8f0349b8d47c5e623bbcef6b
- e82057e481a2d07b177d9d94463a7441
