Группа интернет‑контроля Shadowserver сообщила об обнаружении 77 664 IP‑адресов с серверными компонентами веб‑фреймворка React (RSC, React Server Components), уязвимыми к атаке React2Shell (CVE-2025-55182), из которых около 23 700 адресов находятся в США, а около 3 тыс. в России.
Ранее в серверных компонентах RSC была обнаружена и устранена критическая уязвимость CVE-2025-55182, позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Уязвимость проявляется в экспериментальных компонентах react‑server‑dom‑webpack, react‑server‑dom‑parcel и react‑server‑dom‑turbopack, применяемых для выполнения функций и формирования элементов интерфейса на сервере, а не на стороне клиента.
Уязвимость CVE-2025-55182 присутствует в версиях React 19.0.0, 19.1.0, 19.1.1 и 19.2.0. Проблема устранена в обновлениях React 19.0.1, 19.1.2 и 19.2.1. Уязвимые компоненты также применяются в пакетах react‑router (20 млн загрузок в неделю), waku, @parcel/rsc (Parcel RSC plugin), @vitejs/plugin‑rsc (Vite RSC plugin) и rwsdk (RedwoodSDK). В React Router проблема проявляется только при использовании экспериментального режима RSC.
Исследователи определили уязвимые системы с IP‑адресами с помощью метода обнаружения, разработанного Searchlight Cyber/Assetnote. Для эксплуатации уязвимости на серверы отправлялся HTTP‑запрос, а для подтверждения уязвимости устройства проверялся конкретный ответ.
Специалисты GreyNoise также зафиксировали 181 отдельный IP‑адрес, пытавшийся эксплуатировать уязвимость за последние 24 часа, при этом большая часть трафика, по‑видимому, была автоматизированной. Исследователи отмечают, что сканирование в основном осуществляется из Нидерландов, Китая, США, Гонконга и небольшого числа других стран.
Компания Palo Alto Networks сообщила, что более 30 организаций уже были скомпрометированы с помощью уязвимости React2Shell. Злоумышленники использовали её для выполнения команд, проведения разведки и попыток кражи файлов конфигурации и учётных данных AWS.
Компания GreyNoise сообщила, что злоумышленники часто начинают с команд PowerShell, которые выполняют простую математическую функцию, чтобы подтвердить, что устройство уязвимо к уязвимости удалённого выполнения кода. Эти тесты дают предсказуемые результаты, оставляя минимальные следы эксплуатации: powershell ‑c «40138*41979» или powershell ‑c «40320*43488».
После подтверждения удалённого выполнения кода злоумышленники выполняли команды PowerShell в кодировке base64, которые загружают дополнительные скрипты непосредственно в память типа powershell ‑enc <base64>. Одна из наблюдаемых команд запускает скрипт PowerShell с внешнего сайта (23[.]235[.]188[.]3), который используется для отключения AMSI с целью обхода защиты конечных точек и развертывания дополнительных полезных нагрузок.
По данным VirusTotal, скрипт PowerShell, обнаруженный GreyNoise, устанавливает маяк Cobalt Strike на целевое устройство, предоставляя злоумышленникам возможность закрепиться в сети.
Специалисты по анализу угроз Amazon AWS также обнаружили эксплуатацию уязвимости. Например, злоумышленники проводят разведку на уязвимых серверах, используя такие команды, как whoami и id, пытаясь записать файлы и читая /etc/passwd.
Агентство по безопасности и безопасности (CISA) добавило CVE-2025-55182 в каталог известных эксплуатируемых уязвимостей (KEV), обязывая федеральные агентства установить исправления до 26 декабря 2025 года в соответствии с обязательной оперативной директивой 22-01.
Организациям, использующим компоненты сервера React или фреймворки, созданные на их основе, рекомендуется немедленно установить обновления, пересобрать и развернуть свои приложения, а также проверить журналы на наличие признаков выполнения команд PowerShell.
