Исследователи выявили критическую уязвимость, получившую название React2Shell, — удалённое выполнение кода (RCE) без проверки подлинности в протоколе управления серверными компонентами React. Недостаток особенно опасен для стандартных конфигураций серверных компонентов React (включая React 19) и приложений на Next.js: злоумышленник может выполнить произвольный JavaScript‑код, отправив специально сформированный HTTP‑запрос. Использование уязвимости уже связывают с внедрением троянца удалённого доступа EtherRAT, что превращает её в серьёзную серверную угрозу.
Кратко по сути инцидента
Коротко о главном:
- Уязвимость кодируется как CVE-2025-55182 и связана с ошибкой десериализации при обработке структурированных полезных нагрузок.
- Атака создаёт примитивы выполнения, манипулируя десериализатором, что даёт возможность запускать произвольный JavaScript‑код на сервере.
- React2Shell затрагивает любые серверы, использующие уязвимую библиотеку серверных компонентов React — не только Next.js.
- Эксплуатация уязвимости уже сопровождалась внедрением EtherRAT, который использует сложную многоэтапную цепочку заражения и расширенные механизмы закрепления.
Технические детали уязвимости
Суть проблемы — ошибка десериализации входящих структурированных payload’ов. Злоумышленник подготавливает данные так, чтобы десериализатор создал объекты и конструкции, позволяющие выполнить произвольный JavaScript на стороне сервера. Первичные обсуждения ограничивали угрозу рамками Next.js, но на практике уязвимость затрагивает любую систему, где задействована уязвимая реализация серверных компонентов React.
«Атака включает в себя создание примитивов выполнения, которые манипулируют десериализатором для выполнения произвольного кода JavaScript.»
EtherRAT: поведение и механизмы закрепления
Использование React2Shell связано с появлением EtherRAT — троянца удалённого доступа, отличающегося скрытностью и стойкостью. Его заражение идёт по поэтапной цепочке, а сам инструмент применяет несколько механизмов закрепления, получивших название «Агрессивная пятёрка». В частности, злоумышленники используют:
- создание пользовательской службы systemd со случайным именем unit-файла;
- установку записей автозапуска XDG со скрытыми настройками;
- настройку заданий cron для автоматического периодического выполнения;
- внедрение вредоносного кода в файлы инициализации оболочки пользователя, такие как .bashrc и .profile.
Комбинация этих приёмов существенно повышает живучесть вредоносного ПО и осложняет его обнаружение и удаление.
Акторы и мотивация
По имеющимся данным, React2Shell быстро стали использовать различные хакерские группировки, в том числе группы, связанные с КНДР и Китаем. Мотивы атак варьируются — от криптомайнинга до похищения облачных учётных данных и развертывания дальнейших инструментов удалённого доступа.
Особенности механизма управления EtherRAT
Отличительной чертой EtherRAT является использование Ethereum в роли механизма связи/разрешения команд (C2). Такая децентрализованная схема усложняет отслеживание и блокировку каналов управления, делая реагирование и пресечение атак более трудоёмкими.
Рекомендации по защите и реагированию
Доклады подчёркивают необходимость срочных защитных мер. В числе приоритетных рекомендаций:
- жёсткие наборы правил для WAF (Web Application Firewall) и фильтрация входящих HTTP‑запросов;
- сегментация сети и ограничение доступа между серверами и критическими сервисами;
- немедленная изоляция скомпрометированных ресурсов при подозрениях на эксплуатацию уязвимости;
- проведение всестороннего судебно‑технического анализа (forensic) при компрометации;
- полная перестройка и восстановление инфраструктуры после инцидента — поверхностные исправления и отсылки патчами часто недостаточны;
- регулярное обновление библиотек серверных компонентов React и сопутствующего стекa, мониторинг аномалий поведения процессов и сетевого трафика.
Оценка риска
Сочетание широко используемой серьёзной уязвимости и расширенных возможностей скрытности EtherRAT делает ситуацию особенно напряжённой. Угроза устойчива к традиционной периметральной защите и требует скоординированного реагирования — от операторов приложений до команд по кибербезопасности и облачных провайдеров.
Вывод
React2Shell и связанное с ним внедрение EtherRAT демонстрируют, что уязвимости в популярных компонентах фронтенд‑стека могут перерасти в серьёзную серверную угрозу. Приоритеты для организаций — срочно оценить присутствие уязвимых версий, усилить правила WAF, сегментировать сеть, подготовить процедуры изоляции и обеспечить готовность к полномасштабному судебному анализу и восстановлению инфраструктуры.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "React2Shell (CVE-2025-55182): RCE в React-компонентах и EtherRAT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.