СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.12.2025
#ИБ#Инфра#Облака

React2Shell (CVE-2025-55182): RCE в React-компонентах и EtherRAT

Исследователи выявили критическую уязвимость, получившую название React2Shell, — удалённое выполнение кода (RCE) без проверки подлинности в протоколе управления серверными компонентами React. Недостаток особенно опасен для стандартных конфигураций серверных компонентов React (включая React 19) и приложений на Next.js: злоумышленник может выполнить произвольный JavaScript‑код, отправив специально сформированный HTTP‑запрос. Использование уязвимости уже связывают с внедрением троянца удалённого доступа EtherRAT, что превращает её в серьёзную серверную угрозу.

Кратко по сути инцидента

Коротко о главном:

  • Уязвимость кодируется как CVE-2025-55182 и связана с ошибкой десериализации при обработке структурированных полезных нагрузок.
  • Атака создаёт примитивы выполнения, манипулируя десериализатором, что даёт возможность запускать произвольный JavaScript‑код на сервере.
  • React2Shell затрагивает любые серверы, использующие уязвимую библиотеку серверных компонентов React — не только Next.js.
  • Эксплуатация уязвимости уже сопровождалась внедрением EtherRAT, который использует сложную многоэтапную цепочку заражения и расширенные механизмы закрепления.

Технические детали уязвимости

Суть проблемы — ошибка десериализации входящих структурированных payload’ов. Злоумышленник подготавливает данные так, чтобы десериализатор создал объекты и конструкции, позволяющие выполнить произвольный JavaScript на стороне сервера. Первичные обсуждения ограничивали угрозу рамками Next.js, но на практике уязвимость затрагивает любую систему, где задействована уязвимая реализация серверных компонентов React.

«Атака включает в себя создание примитивов выполнения, которые манипулируют десериализатором для выполнения произвольного кода JavaScript.»

EtherRAT: поведение и механизмы закрепления

Использование React2Shell связано с появлением EtherRAT — троянца удалённого доступа, отличающегося скрытностью и стойкостью. Его заражение идёт по поэтапной цепочке, а сам инструмент применяет несколько механизмов закрепления, получивших название «Агрессивная пятёрка». В частности, злоумышленники используют:

  • создание пользовательской службы systemd со случайным именем unit-файла;
  • установку записей автозапуска XDG со скрытыми настройками;
  • настройку заданий cron для автоматического периодического выполнения;
  • внедрение вредоносного кода в файлы инициализации оболочки пользователя, такие как .bashrc и .profile.

Комбинация этих приёмов существенно повышает живучесть вредоносного ПО и осложняет его обнаружение и удаление.

Акторы и мотивация

По имеющимся данным, React2Shell быстро стали использовать различные хакерские группировки, в том числе группы, связанные с КНДР и Китаем. Мотивы атак варьируются — от криптомайнинга до похищения облачных учётных данных и развертывания дальнейших инструментов удалённого доступа.

Особенности механизма управления EtherRAT

Отличительной чертой EtherRAT является использование Ethereum в роли механизма связи/разрешения команд (C2). Такая децентрализованная схема усложняет отслеживание и блокировку каналов управления, делая реагирование и пресечение атак более трудоёмкими.

Рекомендации по защите и реагированию

Доклады подчёркивают необходимость срочных защитных мер. В числе приоритетных рекомендаций:

  • жёсткие наборы правил для WAF (Web Application Firewall) и фильтрация входящих HTTP‑запросов;
  • сегментация сети и ограничение доступа между серверами и критическими сервисами;
  • немедленная изоляция скомпрометированных ресурсов при подозрениях на эксплуатацию уязвимости;
  • проведение всестороннего судебно‑технического анализа (forensic) при компрометации;
  • полная перестройка и восстановление инфраструктуры после инцидента — поверхностные исправления и отсылки патчами часто недостаточны;
  • регулярное обновление библиотек серверных компонентов React и сопутствующего стекa, мониторинг аномалий поведения процессов и сетевого трафика.

Оценка риска

Сочетание широко используемой серьёзной уязвимости и расширенных возможностей скрытности EtherRAT делает ситуацию особенно напряжённой. Угроза устойчива к традиционной периметральной защите и требует скоординированного реагирования — от операторов приложений до команд по кибербезопасности и облачных провайдеров.

Вывод

React2Shell и связанное с ним внедрение EtherRAT демонстрируют, что уязвимости в популярных компонентах фронтенд‑стека могут перерасти в серьёзную серверную угрозу. Приоритеты для организаций — срочно оценить присутствие уязвимых версий, усилить правила WAF, сегментировать сеть, подготовить процедуры изоляции и обеспечить готовность к полномасштабному судебному анализу и восстановлению инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: