Критическая уязвимость в React Server Components
Критическая ошибка удаленного выполнения кода (RCE) в React Server Components используется злоумышленниками для захвата серверов, опустошения криптовалютных кошельков и установки майнеров Monero. По прогнозам, волна краж может достичь 3 миллиардов долларов в 2025 году, несмотря на срочные призывы к исправлению. Эта уязвимость безопасности вызвала тревогу в криптовалютной индустрии, так как злоумышленники активно используют ее для кражи средств и развертывания вредоносного ПО, согласно данным Security Alliance.
Уязвимость CVE-2025-55182
Security Alliance сообщила, что крипто-опустошители активно используют уязвимость CVE-2025-55182, призывая все веб-сайты немедленно проверить свой фронтенд-код на наличие подозрительных активов. Уязвимость затрагивает не только протоколы Web3, но и все веб-сайты, использующие React, при этом злоумышленники нацеливаются на подписи разрешений на различных платформах. Пользователи подвергаются риску при подписании транзакций, так как вредоносный код может перехватывать коммуникации кошелька и перенаправлять средства на адреса, контролируемые злоумышленниками, согласно данным исследователей безопасности.
Раскрытие уязвимости
Официальная команда React раскрыла уязвимость CVE-2025-55182 3 декабря, оценив ее по шкале CVSS в 10.0 после отчета Лахлана Дэвидсона от 29 ноября через Meta Bug Bounty. Уязвимость неавторизованного удаленного выполнения кода использует способ, которым React декодирует полезные нагрузки, отправленные на конечные точки Server Function, позволяя злоумышленникам создавать вредоносные HTTP-запросы, которые выполняют произвольный код на серверах. Недостаток затрагивает версии React 19.0, 19.1.0, 19.1.1 и 19.2.0 в пакетах react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack.
Необходимость обновлений
Основные фреймворки, включая Next.js, React Router, Waku и Expo, требуют немедленных обновлений. Исправления были выпущены в версиях 19.0.1, 19.1.2 и 19.2.1, при этом пользователям Next.js необходимо обновление по нескольким линиям релиза с 14.2.35 до 16.0.10.
Новые уязвимости и атаки
Исследователи также обнаружили две новые уязвимости в React Server Components, которые могут быть использованы для эксплуатации, что является отдельной проблемой от критического CVE. Исправление для React2Shell остается эффективным для предотвращения удаленного выполнения кода. Vercel развернула правила Web Application Firewall для автоматической защиты проектов на своей платформе, однако компания подчеркнула, что защита WAF сама по себе недостаточна. Необходимы немедленные обновления до исправленной версии, заявила Vercel в своем бюллетене по безопасности от 3 декабря.
Широкомасштабные атаки
Группа Google Threat Intelligence зафиксировала широкомасштабные атаки, начавшиеся 3 декабря, отслеживая преступные группы, начиная от оппортунистических хакеров до операций, поддерживаемых государством. Китайские хакерские группы устанавливали различные типы вредоносного ПО на скомпрометированных системах, в основном нацеливаясь на облачные серверы Amazon Web Services и Alibaba Cloud.
Майнинг криптовалюты
Финансово мотивированные преступники начали устанавливать программное обеспечение для майнинга криптовалюты, использующее вычислительную мощность жертв для генерации Monero, начиная с 5 декабря. Эти майнеры работают в фоновом режиме, увеличивая затраты на электроэнергию и принося прибыль злоумышленникам.
Рекомендации для пользователей
Организациям, использующим React или Next.js, рекомендуется немедленно обновиться до версий 19.0.1, 19.1.2 или 19.2.1, развернуть правила WAF, провести аудит всех зависимостей, мониторить сетевой трафик на наличие команд wget или cURL, инициированных процессами веб-сервера, и искать несанкционированные скрытые директории или вредоносные инъекции конфигурации оболочки.
«Масштабная атака на цепочку поставок» — Технический директор Ledger Шарль Гийемет о недавних инцидентах.
