React2Shell (CVE-2025-55182): массовые эксплойты и RAT-кампании

Уязвимость CVE-2025-55182, получившая название React2Shell, связана с небезопасной десериализацией на стороне сервера полезных нагрузок, контролируемых клиентом, в серверных компонентах React. Проблема позволяет выполнять удалённый код без проверки подлинности и после публичного раскрытия быстро привела к массовым сканированиям и успешным атакам.

Суть уязвимости

В серверных компонентах React реализована логика десериализации (Flight), которая оказалась уязвимой при обработке данных, поступающих от клиента. Злоумышленник, отправив специально сформированную полезную нагрузку, может добиться выполнения произвольного кода на сервере. Уязвимость критична, поскольку допускает unauthenticated RCE — выполнение команд без предварительной авторизации.

Масштаб эксплуатации

• Зафиксировано свыше 127 миллионов запросов, связанных с попытками эксплуатации уязвимости.
• Попытки затронули более 87 000 различных сайтов, что указывает на высокий уровень автоматизированного сканирования.
• После анонса появились многочисленные предполагаемые эксплойты (PoC), многие из которых были неправильно спроектированы и не корректно таргетировали логику десериализации Flight.

Ключевые кампании и вредоносные семейства

Акторы быстро адаптировались, используя React2Shell в различных целях — от масштабного развёртывания RAT до криптоджекинга и ботнет-атак. Основные наблюдаемые направления:

Широкомасштабная кампания с использованием RAT

Одним из заметных направлений стала кампания по развертыванию троянцев удалённого доступа (RAT). Такие RAT соединяются с серверами C2, обмениваются командами в формате JSON и позволяют выполнять произвольные команды ОС, открывать обратные шеллы и выполнять передачу файлов.

XNote RAT — целевые операции против финансовых организаций

В ряде атак, направленных на финансовый сектор Гонконга, злоумышленники использовали XNote RAT. Его применение связывают с деятельностью группировки, подозреваемой в связях с китайскими государственными акторами, что указывает на возможность государственного участия в операциях.

Dropper SnowLight и VShell

Дроппер SnowLight обнаружен как в роли вектора доступа, так и как механизм закрепления: он выполняет вредоносные скрипты и устанавливает дополнительные полезные нагрузки, в том числе VShell RAT.

ReactOnMyNuts — Mirai и XMRig

Кампания под названием ReactOnMyNuts использовала уязвимость для распространения ботнета Mirai и майнера XMRig. Атаки опирались на простое выполнение команд для загрузки и установки вредоносных компонентов на серверные инфраструктуры.

Кампания Runnv — криптоджекинг

Инициатива Runnv, предположительно исходящая из Китая, использовала bash dropper для извлечения дополнительных полезных файлов. По доступным оценкам, ежедневный доход от таких операций составлял около 170 долларов, что подчёркивает высокую окупаемость подобных opportunistic атак при небольших затратах.

Почему атаки развились столь быстро

Несмотря на то, что многие PoC изначально были некорректны, злоумышленники оперативно тестировали и дорабатывали эксплойты. Это позволило быстро масштабировать атаки и разнообразить используемые полезные нагрузки — от сложных RAT до простых скриптов cryptojacking и ботнет-компонентов.

«React2Shell стала катализатором массивных кибер-операций — от государственных установок сложных RAT до оппортюнистического cryptojacking.»

Риски для организаций

• Критическое RCE без авторизации — риск полного компромета сервера.
• Установление постоянной власти через RAT, возможный доступ к конфиденциальным данным и инфраструктуре.
• Превращение сервера в узел ботнета или майнинговую машину — потеря ресурсов и репутации.
• Целевая компрометация отраслей (например, финансовый сектор) с возможными государственно‑связанными акторами.

Рекомендации

• Немедленно обновите React и связанные серверные компоненты до версий, устраняющих уязвимость CVE-2025-55182.
• Отключите или ограничьте десериализацию данных, поступающих от ненадёжных клиентов; по возможности не десериализуйте клиентские payload’ы на сервере.
• Проведите аудит логов и сетевого трафика на предмет массовых запросов, характерных для попыток эксплуатации (повторяющиеся аномальные POST/GET с похожими полезными нагрузками).
• Блокируйте известные домены и IP, связанные с C2, и используйте egress-фильтрацию для ограничения исходящих соединений.
• Разверните EDR/IDS с детекцией поведенческих индикаторов запуска обратных шеллов, несанкционированной загрузки файлов и командного исполнения.
• Тщательно проверяйте и тестируйте PoC в изолированной среде; многие публичные PoC изначально некорректны и могут привести к ложным срабатываниям.
• Проведите оценку воздействия и план реагирования: подготовьте плейбуки по реагированию на RCE-атаки, сохранению и анализу артефактов.

События вокруг React2Shell ещё раз демонстрируют, как быстро уязвимость в популярных фреймворках может превратиться в широкомасштабную атаку с разными целями: от корпоративного шпионажа до криминального майнинга. Для предотвращения последствий организациям необходима оперативная реакция, регулярное патчирование и усиленный мониторинг.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.