Уязвимость React2Shell (CVE-2025-55182) захватывает интернет вещей: тысячи устройств под атакой

Менее чем через месяц после публикации деталей уязвимости CVE-2025-55182, получившей неофициальное название React2Shell, она стала массово использоваться злоумышленниками. Эксперты по кибербезопасности зафиксировали сотни тысяч попыток эксплуатации этой бреши, нацеленных на широкий спектр устройств «умного дома» и интернета вещей (IoT). Данные за последние 30 дней показывают, что атаки носят автоматизированный и беспорядочный характер, превращая уязвимые гаджеты в плацдармы для дальнейших атак.

Описание

Уязвимость затрагивает приложения на Node.js, которые позволяют пользовательским JSON-данным влиять на внутренние структуры объектов JavaScript. При недостаточной валидации злоумышленники могут эскалировать это в выполнение произвольных команд на системе через доступ к "process.mainModule.require" и, как следствие, к "child_process.execSync". Простота создания эксплойта и широкий охват потенциальных целей привели к быстрому внедрению этой техники операторами ботнетов.

Масштаб атак впечатляет. Системы мониторинга блокировали более 150 000 попыток эксплуатации по шаблону React2Shell ежедневно. Большинство детектов были связаны с сигнатурами прямой инъекции команд, выполняемых через BusyBox, попытками загрузки файлов с помощью "wget" или "curl", изменением привилегий через "chmod" и различными техниками обфускации. Последние включали последовательности декодирования base64, предназначенные для обхода простых фильтров. Хотя часть запросов являлась разведывательными зондами, большинство представляли собой структурированные вредоносные нагрузки (payload), нацеленные на загрузку и запуск вредоносного программного обеспечения.

Значительная часть атакующего трафика исходит из дата-центра в Польше. В частности, один IP-адрес был ответственен за более чем 12 000 событий, связанных с React2Shell, а также за сканирование портов и попытки эксплуатации известных уязвимостей в устройствах Hikvision. Такое поведение соответствует паттернам, наблюдаемым в ботнетах на базе Mirai, где скомпрометированная инфраструктура используется как для сканирования, так и для запуска многовариантных атак. Дополнительное зондирование исходит из США, Нидерландов, Ирландии, Франции, Гонконга, Сингапура, Китая, Панамы и других регионов, что указывает на широкое глобальное участие в оппортунистической эксплуатации.

Атаки нацелены на широкий спектр устройств, что подчеркивает их беспорядочный характер. Наиболее часто атакуемыми моделями стали «умные» розетки, смартфоны, сетевые хранилища (NAS), системы видеонаблюдения, маршрутизаторы, одноплатные компьютеры, а также различные марки и модели «умных» телевизоров и потребительской электроники. Большое количество неустановленных отпечатков устройств позволяет предположить, что многие атаки нацелены на универсальные веб-интерфейсы на базе Linux, которые не раскрывают четких идентификационных данных. Это распространение соответствует устоявшемуся поведению ботнетов: злоумышленники атакуют любое устройство с открытой HTTP-точкой доступа, независимо от производителя или назначения.

Анализ полезной нагрузки выявил две основные семьи вредоносного программного обеспечения, доставляемого через React2Shell за последнюю неделю. Во-первых, это загрузчики Mirai и его производных. Эти вредоносные нагрузки часто использовали команды BusyBox для загрузки бинарных файлов с инфраструктуры, размещенной по адресу 193.34.213[.]150, под именами вроде "x86" и "bolts". Цепочка заражения включала загрузку, изменение прав, выполнение и последующий запрос для получения вторичных компонентов. Во-вторых, это развертывания майнера Rondo. Другая кампания использовала уязвимость для загрузки скрипта "rondo.aqu.sh" с адреса 41.231.37[.]153. Этот установщик получал как модуль распространения, так и компонент для майнинга криптовалюты. Оба типа кампаний соответствуют типичным стратегиям монетизации ботнетов: возможности распределенных атак типа «отказ в обслуживании» (DDoS), дальнейшее червеобразное распространение и нелегальный майнинг.

CVE-2025-55182 предлагает злоумышленникам простой путь от веб-запроса до выполнения команд на уровне системы. Эксплойт компактен, не требует продвинутых техник и работает против большого класса приложений Node.js. Операторы ботнетов исторически внедряют подобные уязвимости в течение нескольких дней, и мониторинг показывает, что React2Shell не является исключением.

Наблюдаемые попытки эксплуатации автоматизированы и неразборчивы. Любой публично доступный сервис, использующий уязвимую реализацию, является потенциальной целью. Организациям, разрабатывающим или развертывающим приложения на Node.js, следует немедленно применять доступные патчи и проверять, что логика парсинга JSON не допускает прототипного загрязнения или манипуляций со структурой объектов. Для устройств IoT и потребительской электроники критически важно снижать степень их доступности с помощью правильной сегментации сети и отключения ненужного удаленного доступа. После компрометации устройства оно обычно перепрофилируется в платформу для атак, что увековечивает цикл сканирования и эксплуатации. Мониторинг активности, связанной с CVE-2025-55182, продолжается для своевременного выявления новых вредоносных нагрузок и акторов угроз.