СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:26
#ИБ

CVE-2025-55182: массовая эксплуатация React2Shell, рост активности ботнетов

React2Shell — компонент, затронутый уязвимостью CVE-2025-55182 — в считанные дни после раскрытия превратился в лакомый объект для злоумышленников. Анализ данных honeypot по состоянию на 9 декабря показывает широкомасштабную атаку на эту уязвимость: десятки тысяч попыток и быстрое включение эксплойта в арсенал нескольких известных ботнетов.

Ключевые факты

  • За период наблюдений зарегистрировано более 68 000 запросов, связанных с эксплойтом CVE-2025-55182.
  • Около 97% этих запросов были попытками использовать RCE (Remote Code Execution).
  • Примерно 5 000 запросов содержали действительно вредоносный код — для эксфильтрации данных или загрузки дополнительной полезной нагрузки.
  • Ботнеты InfectedSlurs, Rondo и Outlaw Botnet оперативно начали использовать уязвимость; Mirai и его разновидности остаются ключевым инструментом сканирования и эксплуатации IoT-устройств.
  • Преобладающий вектор эксплуатации — деплой майнеров криптовалют (например, XMRig), хотя фиксируются и более опасные сценарии — эксфильтрация данных и распространение дополнительных загрузчиков.

Кто стоит за атаками

InfectedSlurs — активный с 2023 года ботнет — быстро интегрировал React2Shell в свои цепочки компрометации. Типично для него — развертывание как Mirai, так и XMRig в скомпрометированных средах.

Rondo заметно изменил тактику: по состоянию на 6 декабря этот актор сместил фокус от множества векторов эксплуатации к преимущественному использованию одной уязвимости — React2Shell. Это свидетельствует о методологическом сдвиге в сторону концентрированных и масштабируемых стратегий.

Outlaw Botnet (действует с 2018 года, использует IRC для обмена) также начал эксплуатировать уязвимость 6 декабря и продолжает активную деятельность.

Кроме того, семейство Mirai и его вариации сохраняют свою роль инструмента массового сканирования и автоматизированной эксплуатации уязвимых IoT-устройств; всплеск активности Mirai был особенно заметен с 6 по 9 декабря.

«Быстрое использование уязвимости React2Shell подчеркивает гибкость злоумышленников в использовании критических уязвимостей, особенно учитывая широкое применение React.js и Next.js.»

Методы эксплуатации и мотивация злоумышленников

Наиболее распространённая цель — развёртывание программ для майнинга криптовалют (XMRig и подобные). Это простая, но прибыльная модель: компрометация большого числа ресурсов приносит стабильный доход.

Однако наблюдаются и более агрессивные тактики:

  • эксфильтрация данных с серверов;
  • загрузка дополнительных полезных нагрузок и загрузчиков;
  • удаление конкурирующего майнингового ПО и даже временное «латание» уязвимости злоумышленниками, чтобы удержать контроль над ресурсами.

Последствия для инфраструктуры

Даже если масштабная установка майнера выглядит как «не самый опасный» сценарий, совокупность факторов создаёт значительные риски:

  • снижение производительности и перерасход ресурсов;
  • повышенный риск вторичных компрометаций и эксфильтрации данных;
  • конкурентная борьба между злоумышленниками, приводящая к нестабильности и непредсказуемым модификациям систем;
  • повышенная вероятность построения ботнет-инфраструктуры для DDoS и других атак.

Рекомендации по защите

  • Срочно проверить и задеплоить доступные патчи для компонентов, связанных с React2Shell; при отсутствии патча — рассмотреть временные mitigations и блокирование эксплойта на уровне WAF/IDS.
  • Проанализировать логи и сетевую телеметрию на предмет запросов, связанных с CVE-2025-55182, и подозрительных попыток RCE (особенно с 6–9 декабря).
  • Ограничить доступ к сервисам, использующим React.js/Next.js, по принципу least privilege иnetwork segmentation; закрыть ненужные внешние интерфейсы.
  • Внедрить/обновить сигнатуры в IDS/IPS и правила в WAF для обнаружения эксплойтов, характерных для React2Shell.
  • Проверить целостность систем и наличие несанкционированных майнеров (XMRig) и удалить их; учесть, что злоумышленники могут пытаться «латать» уязвимости после компрометации.
  • План реагирования: резервное копирование, ревизия учетных записей и ротация ключей/паролей после инцидента.

Вывод

Наблюдаемые данные показывают, что CVE-2025-55182 и компонент React2Shell превратились в классическую «мишень» для автоматизированных кампаний. Быстрое включение эксплойта в арсенал таких акторов, как InfectedSlurs, Rondo и Outlaw Botnet, а также масштабные сканирования со стороны Mirai, указывают на высокий риск для организаций, использующих React.js/Next.js-стек без своевременных обновлений и ограничений доступа.

Эти наблюдения составляют лишь фрагмент продолжающейся эксплуатации — ситуация остаётся динамичной, и своевременные патчи, мониторинг и сегментация сети остаются ключевыми средствами защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: