Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

React2Shell (CVE-2025-55182): удалённое выполнение кода, PeerBlight, CowTunnel

3 мин
CVE-2025-55182, получившая неофициальное название React2Shell, представляет собой критическую уязвимость в серверных компонентах React, связную с десериализацией протокола React Flight. Эксплуатация этой уязвимости позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удалённый код через специально сформированные HTTP-запросы. Зафиксированы случаи реальных атак, в ходе которых злоумышленники развертывали сложные цепочки вредоносного ПО и добивались устойчивого закрепления в системах жертв. По сути, уязвимость дает возможность неаутентифицированному злоумышленнику вызвать десериализацию опасных данных на сервере, что приводит к удалённому выполнению команд. В отчёте отмечается: «React2Shell … позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удалённый код, отправляя специально созданные HTTP‑запросы». Наблюдаемая кампания демонстрирует последовательную модель поведения независимо от ОС (Linux и Windows): злоумышленники тестируют выполнение командн
Оглавление

CVE-2025-55182, получившая неофициальное название React2Shell, представляет собой критическую уязвимость в серверных компонентах React, связную с десериализацией протокола React Flight. Эксплуатация этой уязвимости позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удалённый код через специально сформированные HTTP-запросы. Зафиксированы случаи реальных атак, в ходе которых злоумышленники развертывали сложные цепочки вредоносного ПО и добивались устойчивого закрепления в системах жертв.

Кратко о сути уязвимости

По сути, уязвимость дает возможность неаутентифицированному злоумышленнику вызвать десериализацию опасных данных на сервере, что приводит к удалённому выполнению команд. В отчёте отмечается: «React2Shell … позволяет злоумышленникам, не прошедшим проверку подлинности, выполнять удалённый код, отправляя специально созданные HTTP‑запросы».

Что фиксируют в атаках «в дикой природе»

Наблюдаемая кампания демонстрирует последовательную модель поведения независимо от ОС (Linux и Windows): злоумышленники тестируют выполнение командной оболочки, загружают полезную нагрузку с серверов command and control (C2) и закрепляются с помощью служб или планировщика задач.

Развертываемое вредоносное ПО и инструменты

  • PeerBlight — бэкдор под Linux. При запуске с правами root устанавливает systemd‑службу для гарантированного закрепления после перезагрузок.
  • CowTunnel — обратный прокси, облегчающий исходящие соединения к серверам злоумышленников и позволяющий обходить правила брандмауэра; использует динамически расшифровываемую конфигурацию для маскировки.
  • XMRig — криптомайнер (Monero). Разворачивается через скрипты, настраивающие подключение майнера к указанным пулам.
  • ZinFoq — постэксплуатационный имплант на Go. Обеспечивает интерактивные оболочки, операции с файлами, pivoting сети; взаимодействует с C2 через HTTP POST, маскируя трафик.
  • Дополнительно злоумышленники используют модули для DDoS‑атак и ряд других утилит для расширения контроля и эксфильтрации данных.

Приёмы и механизмы укрытия

  • Закрепление: systemd‑сервисы на Linux, запланированные задачи на Windows.
  • Сетевая маскировка: динамически расшифровываемые конфигурации и трафик, замаскированный под легитимные HTTP‑запросы.
  • Этапность атак: тестирование команд, массовая загрузка полезной нагрузки с C2, развертывание нескольких компонентов для устойчивости и мультифункциональности (майнинг, бэкдор, proxy).

Затронутые версии

Выявленные уязвимые пакеты React Framework включают версии: 19.0, 19.1.0, 19.1.1 и 19.2.0.

Рекомендации для организаций

Учитывая активную эксплуатацию уязвимости, следует немедленно принимать меры по снижению риска:

  • Установить исправления и обновить уязвимые компоненты React до версий, содержащих патчи — немедленно, как только они доступны.
  • Провести аудит и мониторинг серверов, использующих React Flight: искать подозрительные HTTP‑запросы, неожиданные процессы и новые systemd‑службы или запланированные задачи.
  • Проверить наличие индикаторов компрометации: бинарные файлы PeerBlight, CowTunnel, XMRig, ZinFoq; неизвестные systemd‑юниты; необычную экономию CPU/GPU (признак майнинга); исходящие соединения к подозрительным C2.
  • Ограничить исходящие подключения из серверной среды, внедрить Egress‑фильтрацию и мониторинг DNS/HTTP запросов.
  • Использовать EDR/межсетевые решения для обнаружения постэксплуатационных действий (поднятие привилегий, создание служб, записывающие скрипты загрузки).
  • Рассмотреть реализацию принципа минимальных привилегий для процессов и контейнеров, а также сегментацию сети.
  • Подготовить и протестировать процедуры реагирования: сбор артефактов, блокировка C2‑адресов, восстановление из проверенных резервных копий.

Вывод

Полный размах кампании указывает на целенаправленные, многоуровневые операции злоумышленников с использованием передовых методов закрепления и маскировки. Для организаций, использующих уязвимые версии React Framework, немедленная установка исправлений имеет решающее значение. Параллельно необходимы активный мониторинг, проверка индикаторов компрометации и внедрение мер сетевой и хостовой защиты, чтобы снизить риск дальнейшей эксплуатации и минимизировать последствия инцидента.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "React2Shell (CVE-2025-55182): удалённое выполнение кода, PeerBlight, CowTunnel".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются