Уязвимость React2Shell: оппортунисты атаковали серверы через считанные часы после публикации CVE-2025-55182

Компания Darktrace зафиксировала стремительную эксплуатацию критической уязвимости CVE-2025-55182 в React Server Components, известной как React2Shell. Злоумышленники начали массовые атаки на незащищённые серверы уже через несколько часов после публикации информации об уязвимости. Эксперты развернули высокоинтерактивную ловушку (honeypot) и в течение двух минут после её запуска зафиксировали первую попытку эксплуатации. Эта кампания, получившая название «Nuts & Bolts» по маркерам в коде, демонстрирует, насколько быстро киберпреступники адаптируются к новым векторам атаки.

Описание

Суть уязвимости и стремительная цепочка угроз

Уязвимость CVE-2025-55182 существует в протоколе Flight фреймворка React Server Components. Проблема заключается в небезопасной десериализации данных, которая позволяет удалённому злоумышленнику без аутентификации выполнить произвольный код JavaScript, отправив всего один специально сформированный запрос. Впоследствии это приводит к выполнению любых команд на целевом сервере. Патч для устранения уязвимости был выпущен 3 декабря 2025 года. Однако уже через 30 часов в открытом доступе появилось рабочее доказательство концепции (proof of concept, PoC), что дало старт волне атак на ещё не обновлённые системы.

Тактика атаки кампании «Nuts & Bolts»

Атака начинается с агрессивного сканирования сети. Злоумышленники используют сервер-распространитель с IP-адресом 95.214.52[.]170 для поиска хостов с открытым портом 3000. Этот порт часто используется серверами NEXT.js в разработке. Вероятно, атакующие избегают стандартных портов 80 и 443, где выше шанс наткнуться на межсетевые экраны или системы защиты веб-приложений (WAF).

Обнаружив потенциальную цель, злоумышленники отправляют первый зондирующий запрос. Он выполняет команду "whoami", чтобы подтвердить уязвимость и определить учётную запись, под которой работает процесс. После успешной проверки следует основной вредоносный запрос. Он загружает и исполняет на сервере два типа полезной нагрузки (payload). Во-первых, это вариант ботнета Mirai, предназначенный для организации распределённых атак. Во-вторых, загружается bash-скрипт, который является ядром кампании.

Цель скрипта: скрытый майнинг криптовалюты

Основная задача скрипта «Nuts & Bolts» - развернуть на скомпрометированном сервере добытчик криптовалюты Monero (XMRig) и обеспечить его постоянную работу (persistence). Сценарий начинает с «зачистки территории», принудительно завершая процессы других криптомайнеров, таких как xmrig или watcher. Затем он загружает конфигурационный файл и сам бинарный файл майнера, после чего запускает его в фоновом режиме.

Для сокрытия деятельности майнер настроен на подключение к приватным пулам, что скрывает кошелёк злоумышленников. Для обеспечения монополии на ресурсы сервера скрипт также запускает «убийцу» конкурентов - фоновый процесс, который постоянно сканирует систему. Он ищет и принудительно завершает любые процессы, содержащие в своём коде или пути исполняемого файла признаки других майнеров, например строки «xmrig» или «UPX 5».

Наблюдения Darktrace в реальных сетях

Начиная с 4 декабря 2025 года, система Darktrace обнаружила попытки эксплуатации React2Shell в сетях своих клиентов. Аналитики выявили согласованную цепочку компрометации (kill chain). Сначала наблюдались внешние подключения к известным вредоносным адресам. Затем следовала загрузка скриптов и исполняемых файлов с подозрительных внешних ресурсов. После этого фиксировалась активность, связанная с криптомайнингом. В некоторых случаях через несколько часов после заражения устройство пыталось инициировать перемещение внутри сети (lateral movement), проверяя доступ к другим узлам по протоколам SMB и RDP.

Модели искусственного интеллекта Darktrace успешно выявляли аномалии, характерные для этой атаки. Среди ключевых сигналов были подозрительная активность сервера на нестандартных портах, HTTP-запросы к IP-адресам без доменных имён с использованием необычных пользовательских агентов (user agents), таких как curl или wget. Также система детектировала маячковую активность (HTTP beaconing) - регулярные скрытые подключения заражённого хоста к командному серверу для получения инструкций.

Выводы и рекомендации

Кампания «Nuts & Bolts» не отличается высокой технической сложностью. Однако она наглядно показывает скорость, с которой оппортунистические атакующие осваивают новые векторы. Временной промежуток между публикацией патча и началом массовых атак составил всего часы. Факт заражения ловушки через две минуты после развёртывания служит жёстким напоминанием: критически важные обновления безопасности необходимо применять немедленно. Промедление с установкой патчей, особенно для таких популярных фреймворков, открывает двери для быстрых и разрушительных автоматизированных атак.