React2Shell (CVE-2025-55182): критический RCE в серверных компонентах React
CVE-2025-55182, также известная как «React2Shell», — критическая уязвимость удалённого выполнения кода (RCE) в серверных компонентах React. С оценкой CVSS 10.0 она позволяет неавторизованному злоумышленнику выполнить произвольный код, отправив один HTTP‑запрос с привилегиями пользователя, под которыми работает веб‑сервер. Уязвимость была раскрыта 3 декабря 2025 года и с тех пор активно эксплуатируется.
Ключевые факты
- Идентификатор: CVE-2025-55182 (aka «React2Shell»).
- CVSS: 10.0 — максимальная критичность.
- Дата раскрытия: 3 декабря 2025 года.
- Форма эксплуатации: единичный HTTP‑запрос, ведущий к удалённому выполнению кода.
- Акторы: оппортунистические киберпреступники, шпионские группы (включая China-nexus), а также акторы из Ирана.
Наблюдаемая активность и тактики злоумышленников
Сразу после раскрытия уязвимости наблюдалась быстрая и масштабная эксплуатация в разных секторах и регионах. Уже 5 декабря злоумышленники начали массовое развертывание майнеров криптовалюты — в частности, XMRig.
Типичный сценарий компрометации, выявленный в расследованиях:
- загрузка и выполнение shell‑скрипта с именем sex.sh;
- через этот скрипт установка XMRig с GitHub;
- создание persistence‑механизма — новая служба systemd с именем system-update-service, чтобы майнер оставался активным после перезагрузки.
«Быстрое использование CVE-2025-55182 различными злоумышленниками подчёркивает острую необходимость для организаций оперативно исправлять уязвимые системы», — следует из сводных наблюдений.
Акторы и геополитические кластеры
Отдельные кампании связывают эксплуатацию CVE-2025-55182 с группами, связанными с China‑nexus. В числе упомянутых — Earth Lamia (отслеживаемая GTIG как UNC5454) и Jackpot Panda. Параллельно сообщалось о применении уязвимости актором(ами) из Ирана. Финансово мотивированные преступные группы также активно использовали уязвимость для майнинга и быстрого извлечения выгоды.
Последующие находки и связанные уязвимости
После первоначального раскрытия были выявлены дополнительные уязвимости, связанные с теми же компонентами:
- CVE-2025-55183 — ограниченное раскрытие информации;
- CVE-2025-55184 — проблемы с отказом в обслуживании (DoS);
- CVE-2025-67779 — возник в результате неполного исправления CVE-2025-55184 и также приводит к DoS.
Последствия для организаций
Опасность сочетания RCE с активной эксплуатацией очевидна: компрометация может привести как к разведывательной деятельности (шпионажу), так и к прямой финансовой выгоде злоумышленников (криптомайнинг, дальнейшее распространение вредоносных нагрузок). Наличие persistent‑механизмов (например, сервисов systemd) усложняет очистку заражённых систем и повышает стоимость инцидента.
Рекомендации
- Немедленно применить официальные патчи и обновления к серверным компонентам React, затронутым CVE-2025-55182 и сопутствующими CVE.
- Провести проверку инцидентов и поиск индикаторов компрометации: присутствие XMRig, скриптов наподобие sex.sh, созданные службы типа system-update-service.
- Изолировать и проанализировать подозрительные хосты, восстановить систему из известных чистых бэкапов при подтверждённом компромисе.
- Усилить мониторинг HTTP‑трафика и логов приложений на предмет аномалий и однократных злонамеренных запросов.
- Провести ревизию процессов управления уязвимостями, чтобы снизить время между раскрытием и применением исправлений.
Ситуация с CVE-2025-55182 демонстрирует типичную для крупных уязвимостей модель: моментальное раскрытие эксплойтов и быстрая эксплуатация как государственными, так и преступными акторами. Для минимизации рисков организациям требуется оперативная реакция и проактивная безопасность.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
