React2Shell — компонент, затронутый уязвимостью CVE-2025-55182 — в считанные дни после раскрытия превратился в лакомый объект для злоумышленников. Анализ данных honeypot по состоянию на 9 декабря показывает широкомасштабную атаку на эту уязвимость: десятки тысяч попыток и быстрое включение эксплойта в арсенал нескольких известных ботнетов.
Ключевые факты
- За период наблюдений зарегистрировано более 68 000 запросов, связанных с эксплойтом CVE-2025-55182.
- Около 97% этих запросов были попытками использовать RCE (Remote Code Execution).
- Примерно 5 000 запросов содержали действительно вредоносный код — для эксфильтрации данных или загрузки дополнительной полезной нагрузки.
- Ботнеты InfectedSlurs, Rondo и Outlaw Botnet оперативно начали использовать уязвимость; Mirai и его разновидности остаются ключевым инструментом сканирования и эксплуатации IoT-устройств.
- Преобладающий вектор эксплуатации — деплой майнеров криптовалют (например, XMRig), хотя фиксируются и более опасные сценарии — эксфильтрация данных и распространение дополнительных загрузчиков.
Кто стоит за атаками
InfectedSlurs — активный с 2023 года ботнет — быстро интегрировал React2Shell в свои цепочки компрометации. Типично для него — развертывание как Mirai, так и XMRig в скомпрометированных средах.
Rondo заметно изменил тактику: по состоянию на 6 декабря этот актор сместил фокус от множества векторов эксплуатации к преимущественному использованию одной уязвимости — React2Shell. Это свидетельствует о методологическом сдвиге в сторону концентрированных и масштабируемых стратегий.
Outlaw Botnet (действует с 2018 года, использует IRC для обмена) также начал эксплуатировать уязвимость 6 декабря и продолжает активную деятельность.
Кроме того, семейство Mirai и его вариации сохраняют свою роль инструмента массового сканирования и автоматизированной эксплуатации уязвимых IoT-устройств; всплеск активности Mirai был особенно заметен с 6 по 9 декабря.
«Быстрое использование уязвимости React2Shell подчеркивает гибкость злоумышленников в использовании критических уязвимостей, особенно учитывая широкое применение React.js и Next.js.»
Методы эксплуатации и мотивация злоумышленников
Наиболее распространённая цель — развёртывание программ для майнинга криптовалют (XMRig и подобные). Это простая, но прибыльная модель: компрометация большого числа ресурсов приносит стабильный доход.
Однако наблюдаются и более агрессивные тактики:
- эксфильтрация данных с серверов;
- загрузка дополнительных полезных нагрузок и загрузчиков;
- удаление конкурирующего майнингового ПО и даже временное «латание» уязвимости злоумышленниками, чтобы удержать контроль над ресурсами.
Последствия для инфраструктуры
Даже если масштабная установка майнера выглядит как «не самый опасный» сценарий, совокупность факторов создаёт значительные риски:
- снижение производительности и перерасход ресурсов;
- повышенный риск вторичных компрометаций и эксфильтрации данных;
- конкурентная борьба между злоумышленниками, приводящая к нестабильности и непредсказуемым модификациям систем;
- повышенная вероятность построения ботнет-инфраструктуры для DDoS и других атак.
Рекомендации по защите
- Срочно проверить и задеплоить доступные патчи для компонентов, связанных с React2Shell; при отсутствии патча — рассмотреть временные mitigations и блокирование эксплойта на уровне WAF/IDS.
- Проанализировать логи и сетевую телеметрию на предмет запросов, связанных с CVE-2025-55182, и подозрительных попыток RCE (особенно с 6–9 декабря).
- Ограничить доступ к сервисам, использующим React.js/Next.js, по принципу least privilege иnetwork segmentation; закрыть ненужные внешние интерфейсы.
- Внедрить/обновить сигнатуры в IDS/IPS и правила в WAF для обнаружения эксплойтов, характерных для React2Shell.
- Проверить целостность систем и наличие несанкционированных майнеров (XMRig) и удалить их; учесть, что злоумышленники могут пытаться «латать» уязвимости после компрометации.
- План реагирования: резервное копирование, ревизия учетных записей и ротация ключей/паролей после инцидента.
Вывод
Наблюдаемые данные показывают, что CVE-2025-55182 и компонент React2Shell превратились в классическую «мишень» для автоматизированных кампаний. Быстрое включение эксплойта в арсенал таких акторов, как InfectedSlurs, Rondo и Outlaw Botnet, а также масштабные сканирования со стороны Mirai, указывают на высокий риск для организаций, использующих React.js/Next.js-стек без своевременных обновлений и ограничений доступа.
Эти наблюдения составляют лишь фрагмент продолжающейся эксплуатации — ситуация остаётся динамичной, и своевременные патчи, мониторинг и сегментация сети остаются ключевыми средствами защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "CVE-2025-55182: массовая эксплуатация React2Shell, рост активности ботнетов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.