Компания BI.ZONE сообщила ТАСС об использовании уязвимости в компонентах популярной библиотеки JavaScript-React для создания пользовательских интерфейсов против российских организаций. Специалисты BI.ZONE оказали поддержку как минимум трем предприятиям в предотвращении атак.
Согласно BI.ZONE, под атакой оказались:
- страховая компания,
- ритейлер, занимающийся торговлей автозапчастями,
- IT-компания, разрабатывающая решения для различных отраслей, включая государственное управление.
BI.ZONE ранее отмечала, что до 25 тысяч российских сайтов, использующих технологию React, также могут быть подвержены угрозе из-за этой уязвимости. Как отмечают в BI.ZONE, злоумышленники стремились установить на устройства жертв криптовалютный майнер, однако также были зафиксированы попытки развертывания ботнет-сетей в системах одной из компаний.
React позволяет разрабатывать сложные интерфейсы из индивидуальных компонентов, посредством которых можно строить сайты, приложения или игры с интегрированными опциями, становящимися взаимосвязанными элементами. Уязвимость была обнаружена в React Server Components, представленных в 2020 году, которые для ускорения работы исполняются на сервере, в отличие от клиентских компонентов, исполняемых в браузере. Уязвимость оценивается в максимальные 10 баллов из 10 по шкале оценки, и дает возможность хакеру без аутентификации выполнять произвольный код на уязвимом сервере.
Егор Подмоков, глава отдела экспертизы MaxPatrol VM компании Positive Technologies, отмечал, что для эксплуатации уязвимости злоумышленнику достаточно сформировать HTTP-запрос и иметь доступ к приложению с функциями для исполнения кода.
Это обстоятельство делает уязвимыми многие фреймворки, использующие React, что фактически предоставляет злоумышленнику полный контроль над сервером.