СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
26 января
#ИБ

React2Shell и CVE-2025-55182: тактики RCE для React/Node.js

Появление эксплуатации под названием React2Shell выявило нарастающую тенденцию: веб‑библиотеки и окружения становятся всё более привлекательной целью для злоумышленников. В центре внимания отчёта — критическая RCE‑уязвимость CVE-2025-55182, связанная с React и окружением Node.js, а также сохраняющаяся активность эксплуатации старых уязвимостей, таких как CVE-2017-9841 в PHPUnit.

Почему CVE-2025-55182 вызывает особую озабоченность

CVE-2025-55182 — это критическая уязвимость удалённого выполнения кода (RCE), которая привлекла значительное внимание и стала объектом быстрых попыток эксплуатации вскоре после раскрытия. Это отражает общую тенденцию, когда уязвимости в популярных веб‑библиотеках быстро переходят от публикации к активному использованию в атаках.

Старые уязвимости остаются опасными

В отчёте отмечается, что CVE-2017-9841, ещё одна RCE в PHPUnit, продолжает широко использоваться злоумышленниками. Это подчёркивает проблему неадекватных методов обновления и управления уязвимым ПО — даже давние уязвимости остаются эксплуатируемыми, если системы не поддерживаются актуальными.

Как работает React2Shell

React2Shell позволяет злоумышленникам выполнять произвольные команды на скомпрометированных серверах. Полезная нагрузка демонстрирует разнообразие методов атаки, включая загрузку двоичных файлов и скрытное выполнение команд оболочки. Важные элементы тактики:

  • выполнение произвольных команд и создание обратных оболочек;
  • использование команд оболочки для извлечения и выполнения бинарников с удалённых серверов;
  • минимизация следов на целевой системе путём выборки сценариев через wget и их непосредственного выполнения;
  • обход стандартных HTTP‑контролей с помощью альтернативных каналов доступа (например, Netcat).

Известные полезные нагрузки и техники

Отдельные полезные нагрузки, упомянутые в анализе, демонстрируют сложные и адаптируемые схемы атаки:

  • ReactOnMynuts — двухэтапный загрузчик, который использует команды оболочки для скачивания и исполнения двоичных файлов с удалённых серверов, обеспечивая скрытность при выполнении конвейеров;
  • пометки о сборе учётных данных: злоумышленники ищут конфиденциальные файлы, такие как конфигурации среды, и используют асинхронные блоки для навигации по файловой системе и извлечения критичных данных;
  • полезные нагрузки, которые используют Netcat для организации удалённого доступа к оболочке и обхода стандартных HTTP‑контролей.

Примечательно, что ботнет RondoDox адаптирует свои стратегии для использования уязвимости React2Shell, что согласуется с переходом к более веб‑ориентированным операционным возможностям.

Индикаторы компрометации (IoC)

Отчёт выделяет ряд признаков, которые могут указывать на активность, связанную с React2Shell:

  • конкретные эхо‑запросы ICMP с необычной нагрузкой;
  • трассировки команд и последовательности, связанные с системными утилитами (например, ping), используемые для сбора показателей и информации об окружении;
  • образцы поведения создания обратных оболочек через скачивание и вызов скриптов (wget → исполнение), направленные на минимизацию остаточных следов.

Рекомендации для организаций

Для снижения рисков, связанных с React2Shell и аналогичными эксплойтами, организациям настоятельно рекомендуется:

  • регулярно обновлять всё ПО, включая веб‑библиотеки и среды выполнения (особенно React и Node.js);
  • внедрять практики управления уязвимостями и своевременно патчить известные CVE — включая как новые, так и давние (например, CVE-2017-9841);
  • мониторить и реагировать на IoC, описанные выше (ICMP‑эхо, нестандартные вызовы ping, подозрительная загрузка через wget и т.д.);
  • ограничивать возможности выполнения команд оболочки на веб‑серверах и внедрять контроль целостности загружаемых/исполняемых файлов.

Вывод

React2Shell иллюстрирует, как уязвимости в веб‑компонентах могут приводить к серьёзным инцидентам — от получения удалённых оболочек до организации скрытных конвейеров загрузки и исполнения вредоносных бинарников. Одновременно постоянная эксплуатация старых уязвимостей подчёркивает, что надёжная система обновлений и мониторинга остаётся ключевым элементом защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: