Уязвимость React2Shell используется в атаках на российские компании
Критическая уязвимость CVE-2025-55182 (React2Shell) в протоколе Flight для React Server Components активно используется в атаках на российские компании. Злоумышленники используют её для внедрения майнера XMRig, а в одном случае — также ботнетов Kaiji и RustoBot. Все три зафиксированные попытки атак были отражены. Уязвимость, оценённая в 10 баллов по CVSS, позволяет выполнить произвольный код на сервере из-за небезопасной десериализации данных.
Критическая уязвимость CVE-2025-55182 (React2Shell) в протоколе Flight, используемом для взаимодействия клиента и сервера в React Server Components, эксплуатируется в атаках на российские компании. Как указывается в сообщении компании BI.ZONE, уязвимость, оценённая в 10 баллов по CVSS, была впервые описана 4 декабря 2025 года, а уже в первую неделю после этого злоумышленники предприняли попытки атак на три организации: страховую компанию, ритейлера автозапчастей и IT-компанию, разрабатывающую решения для госорганов.
Во всех случаях целью атак было внедрение криптомайнера XMRig для скрытой добычи Monero. Кроме того, в одном из инцидентов атакующие пытались развернуть ботнеты Kaiji и RustoBot, которые, как сообщили в компании, используются для организации DDoS-атак и проксирования трафика: Kaiji нацелен на Linux-серверы и устройства IoT, а RustoBot — на маршрутизаторы TOTOLINK.
Все три атаки были заблокированы, среднее время реагирования составило 13 минут. Уязвимость React2Shell связана с небезопасной десериализацией (процесса преобразования полученных данных обратно в исполняемый код или объект) в протоколе Flight, когда сервер без должной проверки принимает данные от клиента, что при определённых условиях позволяет выполнить произвольный код на сервере.
