СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.12.2025
#ИБ#Инфра

React2Shell CVE-2025-55182: удалённое выполнение кода в React-серверах

3 декабря 2025 года была раскрыта критическая уязвимость в серверных компонентах React под номером CVE-2025-55182, получившая название React2Shell. Уязвимость позволяет злоумышленникам добиваться выполнения кода на сервере через недостаточную проверку данных на стороне сервера — в частности с помощью специально сформированных HTTP POST‑запросов к хостам, обслуживающим веб‑приложения с использованием React.

Суть уязвимости

Причина уязвимости связана с оптимизациями, направленными на сокращение использования ресурсов: они непреднамеренно допускают выполнение команд без надлежащей валидации входных данных. В результате злоумышленник, не прошедший проверку подлинности, может добиться удаленного выполнения кода (Remote Code Execution) на уязвимом сервере.

Наблюдаемая эксплуатация и поведение атакующих

В зафиксированных случаях эксплуатации атакующие нацеливались на скомпрометированные серверы Windows под управлением IIS. Набор попыток выполнения включал запуск ряда Linux‑двoичных файлов — grep, sh, busybox, chmod, bash — а также выполнение shell‑скриптов. Запуски не увенчались успехом именно потому, что эти бинарные файлы отсутствуют в среде Windows.

Поведение злоумышленников характерно для кампаний по криптоджекингу: фокус на массовом краже вычислительных ресурсов и упрощённые, неадаптивные тактики. По своей сложности атаки ближе к действиям менее опытных злоумышленников, а не к продвинутым APT‑группам или организованным синдикатам.

«React2Shell представляет значительный риск из‑за своей способности к удалённому выполнению кода злоумышленниками без аутентификации».

Рекомендации по защите

  • Немедленно применить доступные обновления и патчи для серверных компонентов React и сопутствующего программного обеспечения — оперативное исправление известных уязвимостей остаётся первоочередной мерой защиты.
  • Контроль приложений (application control): внедрить allowlisting, например с помощью ThreatLocker, чтобы разрешать запуск только явно одобренных приложений и блокировать выполнение неавторизованных бинарей.
  • Политики запрета для ПО высокого риска: создавать и поддерживать специфические запреты на исполнение нестандартных интерпретаторов и утилит, особенно тех, которые часто используются в вредоносных сценариях.
  • Кольцевая защита (ringfencing) для критически важных, но рискованных приложений: ограничивать их доступ к системным ресурсам и взаимодействие с другими компонентами, минимизируя потенциальный ущерб при компрометации.
  • Ограничение и валидация входящих запросов: проверять и фильтровать тело POST‑запросов, использовать WAF и строгую валидацию данных на сервере.
  • Мониторинг и EDR: внедрять средства обнаружения аномалий, логирование попыток выполнения нестандартных бинарей и оперативный анализ инцидентов.
  • Сегментация сети и принцип минимальных привилегий: снизить влияние возможной компрометации, ограничив доступ сервисов и учетных записей.
  • Инцидент‑респонс и threat hunting: организовать проактивный поиск следов эксплуатации (попытки запуска Linux‑бинарей на Windows, аномальные POST‑запросы, подозрительная сетьвая активность) и готовность к быстрому реагированию.

Заключение

React2Shell (CVE-2025-55182) — это пример уязвимости, эксплуатация которой может привести к серьезным последствиям из‑за возможности удалённого выполнения кода злоумышленниками без аутентификации. Несмотря на то, что зафиксированные кампании выглядят как массовые криптоджекинг‑атаки низкой изощрённости, риск остаётся высоким для организаций с незащищёнными серверами. Комплекс мер — от оперативного патчинга до контроля приложений и кольцевой защиты — необходим для снижения вероятности и последствий успешной эксплуатации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: