React2Shell начали использовать в атаках на компании из РФ

Киберпреступники начали использовать критическую уязвимость React2Shell для атак на российские компании. Уязвимость CVE-2025-55182 с максимальной оценкой 10 баллов по шкале CVSS описали 4 декабря 2025 года. Уже в первую неделю злоумышленники попытались атаковать три российские компании — представителей сфер страхования, продажи автозапчастей и ИТ. Последняя разрабатывает решения для разных отраслей, включая госорганы.

Уязвимость React2Shell возникает из-за небезопасной десериализации в протоколе Flight, который используется для связи между клиентом и сервером в React Server Components. Сервер принимает данные от клиента без достаточной проверки. При определённых условиях это позволяет атакующему выполнить произвольный код на сервере.

Специалисты BI.ZONE TDR отразили все атаки в среднем за 13 минут. Целью каждой было внедрение криптомайнера XMRig. Это программа с открытым кодом для добычи криптовалюты, в основном Monero. Работает за счёт ресурсов скомпрометированного устройства.

В одном из случаев злоумышленники также пытались внедрить ботнеты Kaiji и RustoBot. Оба используются для DDoS-атак и проксирования трафика через заражённые устройства. Разница в том, что Kaiji бьёт по Linux-серверам и устройствам интернета вещей, а RustoBot целится в сетевые маршрутизаторы TOTOLINK.

Эксперты по кибербезопасности отмечают, что многие уязвимости никогда не используются в реальных атаках. Но особо критические попадают в арсенал злоумышленников за считаные часы. В таких ситуациях просто закрыть дыру недостаточно. Важно проверить инфраструктуру на следы успешной эксплуатации и постэксплуатации.