СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.12.2025
#ИБ

React2Shell: CVE-2025-55182 и криптомайнинг XMRIG

Уязвимость, получившая обозначение CVE-2025-55182, связана с библиотекой/фреймворком React2Shell и вызвала серьёзную обеспокоенность в сообществе по кибербезопасности. Суть проблемы — неправильная десериализация JSON-пейлоада в React Server Components при обработке обращений к server functions, что позволяет злоумышленникам отправлять специально сформированные HTTP-запросы и добиваться произвольного выполнения JavaScript-кода на сервере (RCE).

Механизм эксплуатации

Атакующий формирует вредоносный HTTP-запрос с корректно сконструированным JSON-пейлоадом. Из-за ошибки в десериализации сервер неправильно интерпретирует полученные данные и выполняет вложенный JavaScript-код — это приводит к классическому сценарию RCE. Наличие такой возможности делает серверы лёгкой добычей для автоматизированных сканеров и эксплойтеров.

Инструменты и тактики злоумышленников

Недавно компания AssetNote опубликовала инструмент под названием React2Shell Scanner, который быстро завоевал популярность — как среди защитников, так и среди злоумышленников. Инструмент автоматизирует поиск потенциально уязвимых инстансов, что значительно снижает порог входа для проведения массовых атак.

Типичные элементы инфраструктуры и тактики, замеченные при расследованиях:

  • Сканирование на наличие характерных параметров и ответов, указывающих на ненадёжную десериализацию;
  • Наличие в логах и в телеметрии строк вида WebKitFormBoundaryx8jO2oVc6SWP3Sad — такой маркер был найден на 708 уникальных хостах и рассматривается как индикатор попыток эксплуатации;
  • Использование скрипта sex.sh в качестве механизма закрепления: скрипт разворачивает майнер XMRIG и обеспечивает несанкционированный майнинг криптовалюты Monero на скомпрометированных серверах.

Масштаб и признаки компрометации

Исследования показывают, что распространённость вредоносных скриптов (включая sex.sh) может быть выше, чем первоначально предполагалось. Для точного установления связи между развертыванием этих скриптов и эксплуатацией уязвимости требуется анализ временных меток развертываний и модификаций файлов и процессов.

Основные индикаторы компрометации (IoC):

  • Упоминание в логах строки WebKitFormBoundaryx8jO2oVc6SWP3Sad;
  • Запуск или наличие файлов со знакомыми именами, например sex.sh;
  • Наличие процессов XMRIG или значительное и непонятное повышение загрузки CPU;
  • Исходящие соединения к известным адресам и пулам майнинга Monero;
  • Необычные cron-задания или persistence-механизмы, созданные без согласия администраторов.

Аналитики подчёркивают: «оперативное исправление уязвимых систем и мониторинг признаков майнинга — ключевые меры для снижения рисков и предотвращения чрезмерной нагрузки на серверы».

Рекомендации по защите

Практические шаги, которые следует предпринять немедленно:

  • Применить доступные обновления и патчи для React2Shell и зависимостей (если поставщик выпустил фикс для CVE-2025-55182);
  • Ограничить доступ к server functions — использовать аутентификацию, валидацию входных данных и защиту на уровне WAF;
  • Провести аудит логов и временных меток на предмет наличия указанных IoC (boundary string, sex.sh, процессы XMRIG);
  • Внедрить поведенческий мониторинг: сигнализировать о резком росте загрузки CPU и подозрительной сетевой активности;
  • Блокировать известные домены/адреса, связанные с инфраструктурой злоумышленников, и ограничить исходящие соединения с сервера;
  • Провести форензик на скомпрометированных системах: удалить вредоносные бинарники, отключить persistence-механизмы, сменить учётные данные и ключи;
  • Рассмотреть развёртывание EDR/IDS для детекции эксплойтов и автоматического реагирования.

Вывод

Комбинация уязвимости в десериализации JSON в React Server Components, доступности инструмента React2Shell Scanner и использования скриптов вроде sex.sh для развертывания XMRIG делает угрозу серьёзной и быстрой по распространению. Администраторам и командам безопасности рекомендуется действовать незамедлительно: патчить уязвимые сервисы, мониторить индикаторы компрометации и блокировать инфраструктуру злоумышленников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: