Автоматизированная кампания кражи учётных данных через эксплуатацию React2Shell (CVE‑2025‑55182)

Злоумышленники по всему миру запустили масштабную автоматизированную кампанию по сбору и кражe конфиденциальных данных после эксплуатации критической уязвимости React2Shell (идентификатор CVE‑2025‑55182) в уязвимых приложениях, построенных на основе Next.js. Эта уязвимость позволяет удалённо выполнить произвольный код без аутентификации, что делает её крайне опасной для интернет‑экспонированных сервисов.

Компания Cisco Talos выявила деятельность угрозы, которую они классифицировали как кластер UAT‑10608. Исследователи получили доступ к одной из панелей управления злоумышленников и смогли детально проанализировать способы сбора данных и эксплуатацию уязвимости.

Что представляет собой уязвимость React2Shell?

React2Shell — это критическая уязвимость типа удалённого выполнения кода (RCE), поражающая серверные компоненты React (React Server Components) и приложения, построенные на Next.js. Уязвимость позволяет отправить специально сформированный HTTP‑запрос, после чего атакующий получает возможность выполнить произвольные команды на сервере без какой‑либо авторизации.

Ранее исследования показали, что благодаря слабой десериализации данных злоумышленники могут захватывать и использовать RCE на уязвимых системах, а сама эксплуатация стала широко распространена сразу после публичного раскрытия уязвимости в декабре 2025 года.

Главная панель Nexus Listener
Источник: Cisco Talos

Как работает кампания злоумышленников

Атака начинается с автоматического сканирования интернета на наличие уязвимых приложений Next.js. Когда уязвимая цель найдена, злоумышленники используют эксплойт React2Shell для выполнения вредоносных скриптов на целевом сервере.

Ключевые этапы кампании:

• Автоматическое сканирование и обнаружение уязвимых приложений;
• Размещение загрузчика в стандартном временном каталоге сервера;
• Загрузка и исполнение основной программы сбора секретов;
• Поэтапный сбор данных, включая переменные окружения, ключи SSH, облачные токены и историю команд;
• Отправка собранной информации на сервер управления (C2), где она агрегируется для дальнейшего использования.

По данным Talos, было скомпрометировано как минимум 766 различных хостов в облачных средах, откуда злоумышленники собрали огромный объём конфиденциальной информации.

Что именно украли злоумышленники?

Собранные данные включают:

• Переменные окружения и секреты (API‑ключи, строки подключения, токены GitHub/GitLab);
• SSH‑ключи для доступа к серверам;
• Учетные данные облачных сервисов (AWS, GCP, Azure);
• Токены Kubernetes и Docker‑контейнерная информация;
• Историю команд и данные о процессах сервера.

Эти данные позволяют злоумышленникам не только получить доступ к системам и базам данных жертв, но и развивать свои атаки, выворачиваяся на другие сервисы, включая облачную инфраструктуру и поставщиков CI/CD.

Объем секретных данных, собранных в ходе кампании
Источник: Cisco Talos

Посредственные последствия и риски

Скомпрометированные данные могут привести к множеству серьёзных последствий:

• Перехват облачных аккаунтов и несанкционированный доступ;
• Нарушение работы сервисов и утечка конфиденциальной информации;
• Возможность проведения атак на цепочки поставок (supply chain attacks);
• Регуляторные последствия и штрафы за нарушение требований по защите данных.

Рекомендации по защите

Чтобы защитить свои системы от таких атак, эксперты по безопасности рекомендуют:

• Немедленно применить все официальные исправления для устранения уязвимости React2Shell;
• Провести аудит серверных приложений и конфигураций на предмет уязвимости;
• Ротировать (менять) все ключи, токены и учетные данные, которые могли быть скомпрометированы;
• Внедрить механизмы контроля доступа, такие как WAF/RASP, защиту облачных метаданных (например, AWS IMDSv2);
• Ограничить привилегии приложений и ролей в облаке;
• Внедрить мониторинг аномалий и активность в журналах для быстрого обнаружения злоумышленников.

Выводы

Автоматизированная кампания злоумышленников, эксплуатирующих критическую уязвимость React2Shell, демонстрирует, насколько быстро и масштабно современные атаки могут распространиться после раскрытия уязвимости. Злоумышленники не только находят уязвимые цели, но и используют автоматизированные скрипты для сбора огромного объёма секретов и учётных данных. Понимание механизма атаки и своевременное исправление уязвимостей — ключевые меры для предотвращения подобных инцидентов в будущем.

Часто задаваемые вопросы

Что такое уязвимость React2Shell?

React2Shell (CVE‑2025‑55182) — это критический баг типа удалённого выполнения кода, затрагивающий React Server Components и приложения Next.js, который позволяет злоумышленнику выполнить произвольный код на сервере без авторизации, отправив специально сформированный HTTP‑запрос.

Какие сервисы находятся под угрозой?

Все публичные приложения, работающие на React Server Components и Next.js без исправлений и обновлений, подвергаются риску эксплуатации этой уязвимости.

Какие данные были украдены?

Злоумышленники собрали переменные окружения, API‑ключи, SSH‑ключи, облачные токены, Kubernetes‑токены и другие секреты скомпрометированных систем.

Как защититься от таких атак?

Обновление всех уязвимых компонентов, мониторинг аномальной активности, внедрение защитных механизмов (WAF, RASP), а также смена всех паролей и ключей после возможной компрометации.

Стоит ли отозвать облачные токены и SSH‑ключи?

Да — при подозрении на компрометацию эти данные следует отозвать и заменить как можно скорее, чтобы предотвратить дальнейшее использование злоумышленниками.

Редактор: AndreyEx