React2Shell (CVE-2025-55182): удалённое выполнение кода, PeerBlight, CowTunnel
CVE-2025-55182, получившая неофициальное название React2Shell, представляет собой критическую уязвимость в серверных компонентах React, связную с десериализацией протокола React Flight. Эксплуатация этой уязвимости позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удалённый код через специально сформированные HTTP-запросы. Зафиксированы случаи реальных атак, в ходе которых злоумышленники развертывали сложные цепочки вредоносного ПО и добивались устойчивого закрепления в системах жертв.
Кратко о сути уязвимости
По сути, уязвимость дает возможность неаутентифицированному злоумышленнику вызвать десериализацию опасных данных на сервере, что приводит к удалённому выполнению команд. В отчёте отмечается: «React2Shell … позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удалённый код, отправляя специально созданные HTTP‑запросы».
Что фиксируют в атаках «в дикой природе»
Наблюдаемая кампания демонстрирует последовательную модель поведения независимо от ОС (Linux и Windows): злоумышленники тестируют выполнение командной оболочки, загружают полезную нагрузку с серверов command and control (C2) и закрепляются с помощью служб или планировщика задач.
Развертываемое вредоносное ПО и инструменты
- PeerBlight — бэкдор под Linux. При запуске с правами root устанавливает systemd‑службу для гарантированного закрепления после перезагрузок.
- CowTunnel — обратный прокси, облегчающий исходящие соединения к серверам злоумышленников и позволяющий обходить правила брандмауэра; использует динамически расшифровываемую конфигурацию для маскировки.
- XMRig — криптомайнер (Monero). Разворачивается через скрипты, настраивающие подключение майнера к указанным пулам.
- ZinFoq — постэксплуатационный имплант на Go. Обеспечивает интерактивные оболочки, операции с файлами, pivoting сети; взаимодействует с C2 через HTTP POST, маскируя трафик.
- Дополнительно злоумышленники используют модули для DDoS‑атак и ряд других утилит для расширения контроля и эксфильтрации данных.
Приёмы и механизмы укрытия
- Закрепление: systemd‑сервисы на Linux, запланированные задачи на Windows.
- Сетевая маскировка: динамически расшифровываемые конфигурации и трафик, замаскированный под легитимные HTTP‑запросы.
- Этапность атак: тестирование команд, массовая загрузка полезной нагрузки с C2, развертывание нескольких компонентов для устойчивости и мультифункциональности (майнинг, бэкдор, proxy).
Затронутые версии
Выявленные уязвимые пакеты React Framework включают версии: 19.0, 19.1.0, 19.1.1 и 19.2.0.
Рекомендации для организаций
Учитывая активную эксплуатацию уязвимости, следует немедленно принимать меры по снижению риска:
- Установить исправления и обновить уязвимые компоненты React до версий, содержащих патчи — немедленно, как только они доступны.
- Провести аудит и мониторинг серверов, использующих React Flight: искать подозрительные HTTP‑запросы, неожиданные процессы и новые systemd‑службы или запланированные задачи.
- Проверить наличие индикаторов компрометации: бинарные файлы PeerBlight, CowTunnel, XMRig, ZinFoq; неизвестные systemd‑юниты; необычную экономию CPU/GPU (признак майнинга); исходящие соединения к подозрительным C2.
- Ограничить исходящие подключения из серверной среды, внедрить Egress‑фильтрацию и мониторинг DNS/HTTP запросов.
- Использовать EDR/межсетевые решения для обнаружения постэксплуатационных действий (поднятие привилегий, создание служб, записывающие скрипты загрузки).
- Рассмотреть реализацию принципа минимальных привилегий для процессов и контейнеров, а также сегментацию сети.
- Подготовить и протестировать процедуры реагирования: сбор артефактов, блокировка C2‑адресов, восстановление из проверенных резервных копий.
Вывод
Полный размах кампании указывает на целенаправленные, многоуровневые операции злоумышленников с использованием передовых методов закрепления и маскировки. Для организаций, использующих уязвимые версии React Framework, немедленная установка исправлений имеет решающее значение. Параллельно необходимы активный мониторинг, проверка индикаторов компрометации и внедрение мер сетевой и хостовой защиты, чтобы снизить риск дальнейшей эксплуатации и минимизировать последствия инцидента.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



