CVE-2025-55182: RCE в React Server Components — массовые атаки

Уязвимость CVE-2025-55182, раскрытая 3 декабря 2025 года и затрагивающая серверные компоненты React, позволила не аутентифицированным злоумышленникам осуществлять Remote Code Execution (RCE). Вскоре после публикации уязвимость стала объектом активной эксплуатации: JPCERT/CC задокументировал серию инцидентов с одновременными атаками, произошедшими в течение нескольких дней после объявления.

«Атаки разворачивались в строго сжатые сроки.»

Хронология основных событий

• 3 декабря 2025 — официальное раскрытие уязвимости CVE-2025-55182.
• 5 декабря 2025 — первые зафиксированные установки криптомайнеров, в том числе variantes sex.sh и xmrig.
• 6 декабря 2025 — наблюдалось расширение набора вредоносных компонентов: ежечасный запуск компонента Global Socket (npm-cli) через задания cron; отмечены установки загрузчика SNOWLIGHT (javas) и системы управления CrossC2 (rsyslo).
• 7 декабря 2025 — злоумышленники добавили новые майнеры и изменили конфигурации cron для частого запуска маскированного ядра; также неоднократно внедрялся бэкдор HISONIC (javax).
• В ближайшие дни после начальной волны был зафиксирован дефейс веб‑сайта с предупреждениями на нескольких языках — именно сообщение о дефейсе и стало поводом для дальнейшего расследования пользователем, обнаружившим изменение.

Какие вредоносные компоненты были замечены

Анализ инцидентов показывает широкий спектр развернутого ПО, что свидетельствует о комплексном характере атак и намерениях злоумышленников не ограничиваться только краткосрочной пользой (например, майнингом):

• Криптомайнеры: sex.sh, xmrig и другие варианты;
• Бэкдоры и загрузчики: HISONIC (javax), загрузчик SNOWLIGHT (javas);
• Компоненты управления и C2: CrossC2 (rsyslo);
• Дополнительные утилиты и npm‑компоненты, маскированные под легитимные пакеты, например Global Socket (npm-cli) — использовались через cron для регулярного исполнения.

Обнаружение и последствия

Инцидент был выявлен только после сообщения пользователя о дефейсе веб‑страницы, что указывает на то, что автоматические средства мониторинга и обнаружения могли не среагировать вовремя или были недостаточно распространены в пострадавших средах. Набор вредоносных модулей и повторные внедрения бэкдоров позволяют предположить, что злоумышленники могли установить долговременные механизмы доступа и скрытые каналы управления.

Ключевые последствия и риски:

• Компрометация серверной инфраструктуры и возможный крах служб;
• Неавторизованное потребление ресурсов за счет майнинга;
• Сохранение персистентности через cron‑задачи и бэкдоры, что усложняет полное устранение угрозы;
• Риск дальнейшей эскалации — перемещение по сети, сбор чувствительных данных и внедрение дополнительных C2‑механизмов.

Выводы и рекомендации

Случай с CVE-2025-55182 демонстрирует, насколько быстро злоумышленники способны эксплуатировать публично раскрытые уязвимости и насколько разнообразными могут быть их цели — от майнинга до установки бэкдоров и C2‑инфраструктур. Пострадавшим и организациям, использующим серверные компоненты React, эксперты по безопасности рекомендуют:

• Немедленно применить официальные патчи и обновления, закрывающие CVE-2025-55182;
• Провести всесторонний аудит систем: проверка cron‑задач, целостности бинарников, конфигураций npm‑пакетов и процессов;
• Выполнить форензик‑анализ для определения объема компрометации и наличия персистентных механизмов доступа;
• Поменять учетные данные и ключи, которые могли быть скомпрометированы, и ограничить привилегии сервисных аккаунтов;
• Внедрить или усилить мониторинг целостности веб‑ресурсов и систем обнаружения аномалий для оперативного реагирования на дефейсы и попытки установки неизвестного ПО.

Своевременное применение патчей и комплексный подход к расследованию и восстановлению остаются критическими факторами для уменьшения ущерба от подобных инцидентов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.