Российский страховой сектор атакован через критическую уязвимость React2Shell
Специалисты по информационной безопасности зафиксировали масштабную кампанию кибератак, направленную против российских предприятий страховой отрасли, а также сферы электронной коммерции и IT. Злоумышленники эксплуатируют критическую уязвимость CVE-2025-55182, получившую название React2Shell, для внедрения вредоносного кода в корпоративные сети. Об этом сообщает портал SecurityLab со ссылкой на данные BI.ZONE.
Техническая суть проблемы кроется в популярном фреймворке React. Уязвимость обнаружена в протоколе Flight, который обеспечивает взаимодействие между клиентом и сервером в компонентах React Server Components. Из-за недостаточной проверки входящих данных происходит небезопасная десериализация, что позволяет атакующим выполнять произвольный код на серверах жертв. Подобные бреши часто используются для получения полного контроля над уязвимыми системами буквально через несколько часов после публикации информации о них.
В ходе атак на российские страховые и торговые компании хакеры чаще всего устанавливают майнер криптовалюты XMRig, используя вычислительные мощности бизнеса для личного обогащения. В ряде случаев выявлена загрузка ботнетов Kaiji и RustoBot. Последний написан на языке Rust и способен не только майнить криптовалюту, но и проводить мощные DDoS-атаки различных типов (UDP, TCP и Raw IP flood). Для закрепления в системе и удаленного управления злоумышленники применяют инструмент Sliver.
Особую опасность представляет метод скрытой передачи данных, зафиксированный исследователями. Хакеры используют технику DNS-туннелирования, отправляя информацию о зараженной системе через запросы к доменам в зоне oastify.com. Кроме того, обнаружены скрипты, которые переписывают конфигурацию веб-серверов nginx и Apache. Весь HTTP и HTTPS трафик компаний перенаправляется на внешние ресурсы атакующих, при этом оригинальные настройки заменяются вредоносными версиями с редиректом.
На глобальном уровне, помимо атак на российский сегмент, эта же уязвимость используется для распространения шпионского ПО EtherRAT. Этот JavaScript-троян получает адреса командных серверов через смарт-контракты Ethereum, что затрудняет блокировку инфраструктуры злоумышленников. Вредонос способен похищать токены доступа, SSH-ключи и учетные данные от корпоративных баз данных.
Уязвимость CVE-2025-55182 затрагивает пакеты react-server-dom (webpack, parcel, turbopack) версий 19.0, 19.1.0, 19.1.1 и 19.2.0. Исправления уже выпущены в версиях 19.0.1, 19.1.2 и 19.2.1. Представителям страхового рынка и e-commerce настоятельно рекомендуется обновить зависимости, проверить проекты на Next.js и проанализировать системные логи на предмет подозрительной активности.
