Новую критическую уязвимость React2Shell начали использовать в атаках на российские компании

Критическую уязвимость CVE‑2025‑55182, оцененную в 10 баллов по шкале CVSS, впервые описали 4 декабря 2025 года. Уже в течение первой недели после появления информации об уязвимости злоумышленники попытались использовать ее для атак на три российские организации. Мишенью злоумышленников стали страховая компания, ритейлер, специализирующийся на продаже автозапчастей, а также IT‑компания, которая занимается разработками для различных отраслей, включая органы государственного управления. Все три попытки атак были отражены специалистами BI.ZONE TDR. Среднее время реагирования составило 13 минут.

Во всех трех случаях целью злоумышленников было внедрение криптомайнера XMRig. Это программа с открытым исходным кодом, которая используется для добычи криптовалюты, преимущественно Monero, при этом задействуются ресурсы скомпрометированного устройства.

Кроме того, в одном из случаев, помимо майнера, атакующие пытались развернуть в скомпрометированных системах ботнеты Kaiji и RustoBot. Оба ботнета используются для организации DDoS‑атак и проксирования трафика через зараженные устройства, но если Kaiji компрометирует Linux‑серверы и устройства интернета вещей, то RustoBot нацелен на сетевые маршрутизаторы TOTOLINK.

React2Shell — это уязвимость в протоколе Flight, применяемом для взаимодействия между клиентом и сервером в React Server Components. Она возникает из‑за небезопасной десериализации. Сервер без достаточной проверки принимает данные от клиента, что при определенных условиях дает атакующему возможность добиться выполнения произвольного кода на сервере.