СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.12.2025
#ИБ

CVE-2025-55182 в React: активная эксплуатация китайскими группами

Критическая уязвимость, идентифицированная как CVE-2025-55182, в серверных компонентах React была раскрыта командой React 3 декабря 2025 года с одновременным выпуском исправлений. Уже в первые часы после публикации эксперты зафиксировали активную попытку эксплуатации: сигнатуру для обнаружения уязвимости разработали специалисты Insikt Group из Recorded Future (организация, признанная нежелательной в России в соответствии с решением Генпрокуратуры РФ), а Amazon на следующий день (4 декабря) подтвердил признаки продолжающейся эксплуатации со стороны китайских злоумышленников.

Ключевые факты

  • 3 декабря 2025 — команда React раскрыла уязвимость CVE-2025-55182 и выпустила исправления.
  • В тот же день Insikt Group разработала сигнатуру обнаружения и отметила, что к вечеру ~80 IP-адресов проверялись на наличие уязвимости.
  • 4 декабря 2025 — Amazon сообщил о доказательствах продолжающейся эксплуатации уязвимости китайскими группировками.
  • Были замечены несколько PoC-эксплойтов; наиболее достоверный PoC предоставил исследователь Lachlan Davidson, первооткрыватель CVE-2025-55182.
  • Анализ связал часть активности с сетью анонимизации GobRAT, используемой преимущественно китайскими государственными акторами.

Индикаторы компрометации и инфраструктура атаки

В ходе расследования были выявлены конкретные IP-адреса, связанные с эксплуатацией уязвимости:

  • 143.198.92.82 — подтверждён как узел в сети GobRAT (анонимизирующая сеть, используемая для облегчения операций китайских хакерских группировок).
  • 206.237.3.150 — предположительно связан с группировкой Earth Lamia (атрибуция пока не окончательная).
  • 45.77.33.136 — предположительно связан с группировкой Jackpot Panda (атрибуция не подтверждена).

PoC и распространение эксплойтов

Наряду с активной эксплуатацией появились несколько Proof-of-Concept (PoC) эксплойтов. Самый достоверный PoC был получен от Lachlan Davidson, который первоначально обнаружил уязвимость. Появление множества PoC повышает риск массовой автоматизированной сканирующей активности и последующих успешных атак.

Атрибуция

Аналитики связывают эксплуатацию с инфраструктурой, которая, по данным расследования, используется китайскими государственными акторами. Наличие узлов в сети GobRAT дополнительно указывает на целенаправленное использование анонимизирующей сети для прикрытия операций. При этом прямые связи с конкретными группировками (Earth Lamia, Jackpot Panda) остаются предварительными и требуют дополнительной валидации.

Что следует сделать немедленно

  • Немедленно применить официальные исправления от команды React для всех серверных компонентов, использующихся в инфраструктуре.
  • Применить сигнатуры обнаружения от Insikt Group / Recorded Future и другие актуальные индикаторы обнаружения (IOCs).
  • Проверить логи и мониторинг на признаки сканирования и успешной эксплуатации (включая попытки подключения с перечисленных IP-адресов).
  • Ограничить доступ к административным интерфейсам и сервисам, если они доступны из публичного интернета.
  • Развернуть или обновить WAF/IDS/IPS-правила для блокировки известных паттернов эксплойтов.
  • Если есть признаки компрометации — изолировать затронутые системы и инициировать инцидент-реакцию с привлечением специалистов по кибербезопасности.
  • Провести аудит зависимостей и CI/CD-пайплайнов на предмет автоматической установки уязвимых версий React на серверы.

Оценка риска

Комбинация следующих факторов делает текущую ситуацию критически опасной для организаций:

  • высокая критичность уязвимости;
  • наличие рабочих PoC-эксплойтов;
  • быстрая и масштабная проверка инфраструктур злоумышленниками (десятки десятков IP уже сканировали на уязвимость);
  • связь с инфраструктурой, используемой государственными китайскими акторами, и возможная координация атак.

Вывод

Ситуация с CVE-2025-55182 требует приоритетного реагирования со стороны всех организаций, использующих серверные компоненты React. Рекомендуется немедленно установить выпущенные исправления, внедрить дополнительные меры обнаружения и защиты, а также провести проверку на предмет уже состоявшихся компрометаций. Затягивание с обновлением повышает риск успешной эксплуатации и потенциального нарушения безопасности данных и целостности систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: