Уязвимость React2Shell (CVE-2025-55182): Критическая угроза для тысяч серверов React и Next.js

Экосистема React Server Components представляет собой набор пакетов, фреймворков и сборщиков, которые позволяют приложениям на React 19 выполнять часть логики на сервере. Для обмена данными используется протокол Flight. Уязвимость возникает из-за отсутствия проверки входящих данных (payload, полезная нагрузка) в серверных компонентах. Это позволяет атакующим внедрять вредоносные структуры, которые React принимает как валидные, что приводит к загрязнению прототипов (prototype pollution) и удаленному выполнению кода (RCE).

Особую опасность уязвимости придают несколько факторов. Во-первых, уязвимыми являются системы в конфигурации по умолчанию, для эксплуатации не требуется никаких специальных настроек или ошибок разработчика. Во-вторых, публичные доказательства концепции (PoC) эксплойтов уже доступны и демонстрируют почти стопроцентную надежность. Наконец, атака может быть проведена без аутентификации пользователя, используя единственный запрос.

По данным телеметрии Microsoft Defender, потенциально уязвимы десятки тысяч устройств в тысячах организаций, использующих React или приложения на его основе. Некоторые из этих приложений развернуты внутри контейнеров, а влияние на базовую систему зависит от их конфигурации безопасности. Исследователи уже обнаружили несколько сотен скомпрометированных машин в различных организациях.

Для эксплуатации CVE-2025-55182 злоумышленник отправляет специально сформированные данные веб-приложению, работающему с функциями React Server Components, в виде POST-запроса. Эти данные обрабатываются как сериализованный объект и передаются на сервер, где десериализуются. Вследствие доверия между компонентами по умолчанию, введенные атакующим данные десериализуются, и сервер выполняет предоставленный код в среде выполнения Node.js.

После успешного проникновения злоумышленники выполняют произвольные команды, например, устанавливают обратные оболочки (reverse shells) на известные серверы Cobalt Strike. Для обеспечения устойчивости (persistence) они добавляют новых вредоносных пользователей, используют инструменты удаленного мониторинга и управления (RMM), такие как MeshAgent, изменяют файл authorized_keys и разрешают вход от имени root. Чтобы избежать обнаружения средствами защиты, атакующие загружают данные с контролируемых ими конечных точек CloudFlare Tunnel и используют bind mounts для сокрытия вредоносных процессов и артефактов от систем мониторинга.

Вредоносные нагрузки (payload), наблюдаемые в расследованных кампаниях, варьируются от троянов удаленного доступа (RAT), таких как VShell и EtherRAT, до загрузчика в памяти SNOWLIGHT, который позволял развертывать дополнительные модули, а также ShadowPAD и криптомайнеров XMRig. Атаки развивались путем перечисления системных деталей и переменных среды для последующего перемещения в сети и кража учетных данных.

Среди целевых учетных данных наблюдались конечные точки службы метаданных (IMDS) для облачных платформ Azure, AWS, GCP и Tencent Cloud для получения токенов идентификации. Эти токены могли быть использованы для перемещения к другим облачным ресурсам. Злоумышленники также развертывали инструменты для поиска секретов, такие как TruffleHog и Gitleaks, вместе с пользовательскими скриптами для извлечения различных конфиденциальных данных. Были зафиксированы попытки сбора учетных данных для систем искусственного интеллекта и облачных сред, включая ключи API OpenAI, токены Databricks и учетные данные сервисных аккаунтов Kubernetes.

Microsoft рекомендует клиентам немедленно принять меры по устранению уязвимости. React и Next.js уже выпустили исправления для затронутых пакетов. Необходимо обновить React до версий 19.0.1, 19.1.2, 19.2.1 или более поздних, а Next.js - до версий 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 или более поздних в соответствующих ветках. При этом следует начинать с интернет-ориентированных служб.

Для ручной проверки необходимо перейти в каталог проекта, открыть папку node_modules и проверить установленные пакеты на наличие react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack и next. Затем следует сверить их версии со списком уязвимых. В качестве дополнительной меры защиты на время устранения уязвимости можно применять пользовательские правила брандмауэра веб-приложений (WAF), например, в Azure WAF.

Уязвимость CVE-2025-55182 представляет собой высокоэффективный вектор атаки на современные развертывания React Server Components. Стратегия снижения рисков должна включать быстрое внесение исправлений, многоуровневый мониторинг с помощью Defender и применение правил WAF для компенсации угрозы.

IPv4

• 162.215.170.26
• 194.69.203.32
• 196.251.100.191
• 216.158.232.43
• 46.36.37.85
• 92.246.87.48

Domains

• anywherehost.site
• donaldjtrmp.anondns.net
• ghostbin.axel.org
• hybird-accesskey-staging-saas.s3.dualstack.ap-northeast-1.amazonaws.com
• krebsec.anondns.net
• labubu.anondns.net
• overcome-pmc-conferencing-books.trycloudflare.com
• superminecraft.net.br
• vps-zap812595-1.zap-srv.com
• xpertclient.net

URLs

• http://162.215.170.26:3000/sex.sh
• http://194.69.203.32:81/hiddenbink/colonna.arc
• http://194.69.203.32:81/hiddenbink/colonna.i686
• http://194.69.203.32:81/hiddenbink/react.sh
• http://196.251.100.191/no_killer/Exodus.arm4
• http://196.251.100.191/no_killer/Exodus.x86
• http://196.251.100.191/no_killer/Exodus.x86_64
• http://196.251.100.191/update.sh
• http://216.158.232.43:12000/sex.sh
• http://anywherehost.site/xms/k1.sh
• http://anywherehost.site/xms/kill2.sh
• http://donaldjtrmp.anondns.net:1488/labubu
• http://krebsec.anondns.net:2316/dong
• http://labubu.anondns.net:1488/dong
• http://superminecraft.net.br:3000/sex.sh
• http://xpertclient.net:3000/sex.sh
• https://ghostbin.axel.org/paste/evwgo/raw
• https://hybird-accesskey-staging-saas.s3.dualstack.ap-northeast-1.amazonaws.com/agent
• https://overcome-pmc-conferencing-books.trycloudflare.com/p.png

SHA256

• 0aad73947fb1876923709213333099b8c728dde9f5d86acfd0f3702a963bae6a
• 240afa3a6457f1ee866f6f03ff815009ff8fd7b70b902bc59b037ac54b6cae9b
• 244bf271d2e55cd737980322de37c2c2792154b4cf4e4893e9908c2819026e5f
• 317e10c4068b661d3721adaa35a30728739defddbc72b841c3d06aca0abd4d5e
• 59630d8f3b4db5acbcaccc0cfa54500f2bbb0745d4b5c50d903636f120fc8700
• 68de36f14a7c9e9514533a347d7c6bc830369c7528e07af5c93e0bf7c1cd86df
• 69f2789a539fc2867570f3bbb71102373a94c7153239599478af84b9c81f2a03
• 717c849a1331b63860cefa128a4aa5d476f300ac45fd5d3c56b2746f7e72a0d2
• 7909046e5e0fd60461b721c0ef7cfe5899f76672e4970d629bb51bb904a05398
• 7e0a0c48ee0f65c72a252335f6dcd435dbd448fc0414b295f635372e1c5a9171
• 82335954bec84cbdd019cfa474f20f4274310a1477e03e34af7c62d15096fe0d
• 8e07beb854f77e90c174829bd4e01e86779d596710ad161dbc0e02a219d6227f
• 9dde35ba8e132ebed29e70f57da0c4f36a9401a7bbd36e6ddd257e0920aa4083
• b33d468641a0d3c897e571426804c65daae3ed939eab4126c3aa3fa8531de5e8
• b568582240509227ff7e79b6dc73c933dcc3fae674e9244441066928b1ea0560
• c6c7e7dd85c0578dd7cb24b012a665a9d5210cce8ff735635a45605c3af1f6ad
• f0b66629fe8ad71779df5e4126c389e7702f975049bd17cb597ebcf03c6b110b
• f0d3d5668a4df347eb0a59df167acddb245f022a518a6d15e37614af0bbc2adf