Критична уразливість React2Shell (CVE-2025-55182) у стеку React Server Components перейшла з теоретичної площини в фазу активних атак буквально за лічені години після публічного розкриття. За оцінками дослідників, під ризиком опинилися понад 77 000 серверів у світі, а успішні компрометації вже зафіксовані щонайменше в 30 організаціях з різних галузей.
React2Shell: критична RCE‑уразливість у React Server Components
React2Shell — це уразливість типу Remote Code Execution (RCE), що вражає серверну частину застосунків на базі React Server Components. Зловмиснику достатньо надіслати спеціально сформований HTTP‑запит, щоби отримати можливість виконання довільного коду на сервері без аутентифікації та без необхідності в підвищених привілеях.
Коренева причина проблеми — небезпечна десеріалізація даних на стороні сервера. Такий клас помилок традиційно належить до найнебезпечніших, оскільки дає змогу перетворити звичайний мережевий запит на повноцінний канал керування системою.
Уразливість отримала максимальну оцінку ризику — CVSS 10.0. Під удар потрапили актуальні версії React 19.0, 19.1.0, 19.1.1, 19.2.0 у типовій конфігурації, а також популярний фреймворк Next.js, який активно використовує React Server Components. Виробники вже випустили патчі: React 19.0.1, 19.1.2, 19.2.1 та оновлені релізи Next.js усувають відому вразливість.
Експерти застерігають, що аналогічні проблемні патерни можуть бути присутні й в інших реалізаціях серверного React, включно з Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK, Waku. Це означає, що реальний масштаб ризику для екосистеми JavaScript значно ширший, ніж поверхневий перелік вендорів.
Масштаби проблеми: десятки тисяч уразливих серверів
За даними фонду Shadowserver, в інтернеті виявлено 76 664 унікальних IP‑адреси, потенційно уразливі до React2Shell; близько 3000 з них розташовані в Росії. Для виявлення використовувався спеціально підготовлений HTTP‑запит, а наявність уразливості визначалась за характерною структурою відповіді — методика, описана Searchlight Cyber та Assetnote.
Компанії Rapid7 та Elastic Security підтвердили появу публічних proof‑of‑concept (PoC)-експлойтів. Аналітики GreyNoise уже зафіксували спроби експлуатації з 181 унікального IP‑адреси, переважно у вигляді автоматизованих сканувань. Найбільша кількість трафіку надходить з Нідерландів, Китаю, США, Гонконгу та інших регіонів з потужною хостинговою інфраструктурою.
Як діють зловмисники: ланцюжок атаки через React2Shell
Етап перевірки уразливості
За спостереженнями дослідників, атаки на React2Shell мають чітко виражений сценарій. На початковому етапі зловмисники перевіряють можливість віддаленого виконання коду, запускаючи прості команди PowerShell на кшталт powershell -c "40138*41979". Такі інструкції дають передбачуваний числовий результат, мінімально засмічують журнали подій і дозволяють швидко відрізнити уразливі хости від захищених.
Розгортання інструментів постексплуатації
Після підтвердження уразливості ланцюжок атаки переходить до другого етапу: виконуються PowerShell‑команди, закодовані в Base64, а додаткові скрипти завантажуються безпосередньо в оперативну пам’ять, оминаючи файлову систему. В одному з досліджених інцидентів шкідливий код підтягувався з зовнішнього ресурсу за IP‑адресою 23[.]235[.]188[.]3.
Один зі скриптів одразу вимикав Antimalware Scan Interface (AMSI) у Windows, що дозволяє уникнути виявлення стандартними засобами захисту й безперешкодно запускати подальші стадії атаки. Згідно з телеметрією VirusTotal, один із таких ланцюжків завершувався встановленням маяка Cobalt Strike — легітимного інструменту для тестування на проникнення, який широко використовується злочинцями як засіб стійкої присутності, керування інфраструктурою жертви та горизонтального переміщення мережею.
APT-групи та полювання за хмарними обліковими даними
Служба кібербезпеки Amazon AWS фіксувала спроби експлуатації CVE-2025-55182 вже через кілька годин після публікації технічних деталей. Частина ворожої активності корелює з інфраструктурою, раніше пов’язаною з китайськими APT‑групами Earth Lamia та Jackpot Panda, що свідчить про високий інтерес державного та напівдержавного кіберугруповань до нової RCE‑уразливості.
За оцінками Palo Alto Networks, наразі постраждали понад 30 організацій. На скомпрометованих серверах зловмисники виконують команди whoami, id, читають /etc/passwd, тестують можливість запису файлів і активно шукають конфігураційні файли та облікові дані AWS, намагаючись розширити доступ до хмарних ресурсів.
Частина атак прив’язується аналітиками до групи UNC5174 (також відомої як CL‑STA‑1015). В інфраструктурі жертв виявляються такі інструменти, як Snowlight (дропер для доставки подальших корисних навантажень) та Vshell (бекдор для віддаленого доступу, постексплуатації та бокового переміщення), що узгоджується з раніше описаними тактиками цього угруповання.
Реакція регуляторів і вплив на глобальні сервіси
Агентство з кібербезпеки та захисту інфраструктури США (CISA) додало CVE-2025-55182 до каталогу Known Exploited Vulnerabilities (KEV). Федеральним відомствам приписано встановити оновлення не пізніше 26 грудня 2025 року, що офіційно підтверджує реальну та активну експлуатацію React2Shell у диких умовах.
Окремої уваги заслуговує інцидент із Cloudflare. На тлі термінового впровадження нових правил у веб‑фаєрволі (WAF) для протидії React2Shell сталася внутрішня помилка конфігурації, що тимчасово вплинула приблизно на 28% HTTP‑трафіку, який проходить через інфраструктуру Cloudflare. Хоча це не було кібератакою, інцидент продемонстрував, наскільки чутливою є глобальна мережна інфраструктура до критичних уразливостей у популярних веб‑фреймворках.
Ситуація з React2Shell показує, як швидко RCE‑уразливість у масовій бібліотеці може перейти до стадії промислової експлуатації. Організаціям, які використовують React Server Components, Next.js та споріднені рішення, слід невідкладно впровадити доступні патчі, провести інвентаризацію всіх публічно доступних сервісів, посилити моніторинг PowerShell‑активності і мережевих аномалій, а також перевірити середовище на наявність Cobalt Strike, Vshell, Snowlight та інших інструментів постексплуатації. Системне керування вразливостями, регулярний аудит коду й тестування безпеки веб‑додатків залишаються ключовими умовами зниження ризиків у сучасній екосистемі JavaScript.
