Критическая уязвимость React2Shell (CVE-2025-55182) в экосистеме React перешла из разряда теоретических рисков в фазу активной эксплуатации. Всего через несколько часов после публичного раскрытия деталей уязвимости были зафиксированы реальные атаки, затронувшие, по оценкам исследователей, более 30 организаций в различных отраслях, а число потенциально уязвимых хостов превысило 77 000 серверов по всему миру.
Что такое React2Shell и чем опасна CVE-2025-55182
React2Shell обозначает уязвимость удаленного выполнения кода (Remote Code Execution, RCE) в механизме React Server Components. Проблеме присвоен максимальный рейтинг опасности — CVSS 10.0, что указывает на максимально критический уровень риска для серверной инфраструктуры.
Уязвимость связана с небезопасной десериализацией данных на стороне сервера. Достаточно отправить специально сформированный HTTP-запрос — без аутентификации и без повышенных привилегий — чтобы злоумышленник получил возможность выполнять произвольный код на сервере.
Под удар попали актуальные релизы React 19.0, 19.1.0, 19.1.1 и 19.2.0 в конфигурациях по умолчанию, а также популярный фреймворк Next.js, использующий React Server Components. Исправления уже доступны в версиях React 19.0.1, 19.1.2, 19.2.1 и в обновленных релизах Next.js.
Эксперты при этом предупреждают, что аналогичные ошибки могут проявляться и в других реализациях React Server, включая такие проекты, как Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK и Waku, что повышает масштаб потенциального влияния проблемы на экосистему JavaScript.
Масштабы уязвимости и первые волны атак
По данным фонда Shadowserver, в сети выявлено 76 664 уникальных IP-адреса, уязвимых к React2Shell; около 3000 таких хостов расположены в России. Для обнаружения применялась методика исследователей Searchlight Cyber и Assetnote: на сервер отправляется тестовый HTTP-запрос, а по структуре ответа делается вывод о наличии уязвимости.
Параллельно компании Rapid7 и Elastic Security подтвердили появление рабочих proof-of-concept (PoC)-эксплоитов в открытом доступе. Аналитики GreyNoise уже зафиксировали попытки эксплуатации из 181 уникального IP-адреса. Большинство запросов носят автоматизированный характер, основная активность исходит из Нидерландов, Китая, США, Гонконга и ряда других стран.
Тактики злоумышленников: от проверки уязвимости до закрепления в сети
Исследователи отмечают повторяющийся паттерн поведения атакующих. На первом этапе злоумышленники используют простые команды PowerShell для проверки, возможен ли запуск кода. Типичный пример — вычисление выражений вроде powershell -c "40138*41979". Такие команды дают предсказуемый результат и минимальный цифровой след в логах.
После подтверждения уязвимости атакующие переходят к выполнению PowerShell-команд, закодированных в base64, и загрузке дополнительных скриптов непосредственно в оперативную память, обходя хранение на диске. В одном из зафиксированных случаев загрузка велась с внешнего ресурса по IP-адресу 23[.]235[.]188[.]3. Скрипт отключал AMSI (Antimalware Scan Interface), чтобы обойти встроенные средства безопасности Windows, и разворачивал последующие стадии атаки.
Согласно данным VirusTotal, один из таких скриптов устанавливал на скомпрометированных системах маяк Cobalt Strike — легитимный инструмент для тестирования на проникновение, часто злоупотребляемый преступниками для длительного присутствия в сети, управления зараженными хостами и дальнейшего продвижения по инфраструктуре.
Причастность APT-группировок и интерес к облачной инфраструктуре
Служба кибербезопасности Amazon AWS сообщает, что попытки эксплуатации React2Shell начались через считанные часы после публикации сведений об уязвимости. Часть этой активности связана с инфраструктурой, ранее ассоциированной с китайскими APT-группировками, включая Earth Lamia и Jackpot Panda.
Эксперты Palo Alto Networks оценивают количество уже пострадавших организаций более чем в 30. Злоумышленники выполняют на серверах команды whoami, id, читают содержимое /etc/passwd, пытаются записывать файлы и активно охотятся за конфигурациями и учетными данными AWS.
Часть зафиксированных атак аналитики связывают с «правительственной» группировкой UNC5174 (она же CL-STA-1015). В инфраструктуре жертв обнаруживаются такие инструменты, как Snowlight (дроппер для доставки дополнительных полезных нагрузок) и Vshell (бэкдор для удаленного доступа, постэксплуатации и бокового перемещения по сети), что соответствует ранее описанным тактикам данной группы.
Реакция регуляторов и влияние на глобальные сервисы
Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило CVE-2025-55182 в каталог Known Exploited Vulnerabilities (KEV). Федеральным ведомствам предписано установить обновления не позднее 26 декабря 2025 года, что подчеркивает критичность и реальную эксплуатацию уязвимости.
Отдельно отмечается, что недавний глобальный сбой в работе Cloudflare также оказался косвенно связан с React2Shell. Во время экстренного развертывания защитных правил в веб-фаерволе (WAF) компании возникла ошибка, временно затронувшая около 28% всего HTTP-трафика, проходящего через Cloudflare. Инцидент не был результатом кибератаки, но демонстрирует, насколько болезненно отрасль реагирует на уязвимости такого масштаба.
Ситуация вокруг React2Shell наглядно показывает, как быстро критическая уязвимость в популярной библиотеке переходит в стадию массовой эксплуатации. Организациям, использующим React Server Components, Next.js и родственные решения, необходимо незамедлительно установить доступные патчи, провести инвентаризацию экспонированных сервисов, усилить мониторинг PowerShell-активности и сетевых аномалий, а также проверить инфраструктуру на наличие признаков Cobalt Strike, Vshell и других постэксплуатационных инструментов. Заблаговременное управление уязвимостями и регулярный аудит кода остаются ключевыми условиями снижения риска при работе с современными веб-фреймворками.
