اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
Fsecurity | HH
رفتن به کانال در Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
نمایش بیشتر2 019
مشترکین
+324 ساعت
-17 روز
-1830 روز
آرشیو پست ها
2 019
Repost from purple shift
Уязвимость React2Shell (CVE-2025-55182) была раскрыта в начале декабря и наделала немало шума — поскольку затрагивает серверные компоненты React (RSC), которые используются во многих веб-приложениях.
Уязвимость оценивается как максимально опасная (CVSS 10.0) и уже активно эксплуатируется в дикой природе злоумышленниками, в том числе APT-группами.
React2Shell позволяет атакующему незамысловатым http-запросом получить удаленное выполнение кода на уязвимых серверах без всякой аутентификации. Минимально жизнеспособный эксплойт:
{
0: {
status: "resolved_model",
reason: -1,
_response: {
_prefix: "console.log('RCE')//",
_formData: { get: "$1:then:constructor" },
},
then: "$1:then",
value: '{"then":"$B"}',
},
1: "$@0",
}
Эта уязвимость особенно критична из-за практически полного отсутствия артефактов. React не фиксирует происходящее, а у большинства из доступного будет лишь набор HTTP-логов, собираемых прокси.
Теоретически можно попытаться анализировать память процесса в поисках характерных сигнатур, но соотношение TP/FP будет крайне низким. В реальности в основном будем видеть нерелевантный трафик от сканеров и автоматических ботов, вместо того чтобы получать чёткие индикаторы эксплуатации уязвимости.
Сейчас атакующие активно перебирают весь спектр механизмов запуска процессов в Node.js:
- exec() - spawn() - execSync() - spawnSync()Отсутствие единых стандартов журналирования в современных фронтенд-фреймворках создаёт дополнительные трудности для расследований. В результате успешная эксплуатация может оставаться незамеченной до тех пор, пока не проявятся косвенные признаки: аномальное поведение Node.js-процессов или подозрительные сетевые соединения. На практике после успешной эксплуатации мы фиксируем один из вариантов (см. скриншот в начале поста): — однострочная последовательность команд, — закодированный в Base64 reverse shell, — есть вариант in memory shell, встречали и его. В основном фиксируем вариации команд для установок различных майнеров и приложений удаленного управления (RMM). Что делать? С точки зрения защиты: — Пропатчить все уязвимые React / Next.js приложения до безопасных версий (19.0.1, 19.1.2, 19.2.1 и выше; Next.js с обновлённым RSC). — Включить правила по обнаружению и предотвращению эксплуатации модифицированных RSC HTTP-запросов на периметре (WAF/IDS). С точки зрения мониторинга: — Отслеживать аномальные процессы от node. — Отслеживать сработки WAF/IDS-решений на попытки эксплуатации этой уязвимости. — Ретроспективно проверить активность на хостах с node.
