Краят на 2025 е белязан от проблем, който докарва кошмари

Краят на 2025 е белязан от проблем, който докарва кошмари на експертите по сигурност: React2Shell. CVE-2025-55182 се явява сериозна накърнимост в транспортен протокол с името Flight в React Server Components. Уязвимостта визира, както React, по този начин и Next.js. Експлоатирането на CVE-2025-55182 не изисква атакуващата страна да се удостоверява пред сървъра, а отсрещната страна не е нужно да прави нещо, с цел да задейства експлоатирането. Това е и повода, заради която оценката на риска на CVE-2025-55182 е допустимо най-високата – 10.0/10. Една особено направена поръчка към сървъра и той е високомерен.

Скоро след новината за React2Shell стартират и офанзивите към нея. Появилите се PoC експлойти в Интернет единствено утежняват ситуацията. На въоръжение ги вземат шпионски групи, доставят се криптоминьори, друг различен тип злотворен код. А към този момент и рансъмуер.

Компанията за киберсигурност S-RM са засекли потреблението на малко известна рансъмуер опасност с името Weaxor след експлоатиране на React2Shell. Атаките с Weaxor са по-скоро опортионистично начинание, като групата зад опасността не употребява метода на двойното изнудване. Нямат и уебсайт в мрежата на Tor, където да разгласяват имената на жертвите си.

Едва минута след експлоатирането на React2Shell е била доставена и главната рансъмуер стратегия. След употребата, хакерите извършват прикрита PowerShell команда, след което доставят връзка с Cobalt Strike за определяне на контролна връзка. Те деактивират отбраната на Windows Defender, след което и доставят зловредната стратегия. S-RM означават, че след завладяването на съответната машина, хакерите не са траяли с придвижване в мрежовия периметър. Тяхна цел е била единствено тази система. Атакуващата страна е криптирала файловете, прикрепяйки към името им уголемение.WEAX и съответната записка с искане за откуп.

S-RM поучават организациите, които употребяват React Server Components да обновят инсталациите си допустимо по-бързо.

Но това може да не е задоволително. Те би трябвало да проведат одит на всеки обвързван с Интернет уебсървър, с цел да се уверят, че не е бил към този момент злепоставен. Това включва инспекция за съмнителни изходящи връзки. Което може да е знак за обвързван команден сървър към системата от атакуващата страна. А също по този начин да се уверят, че решението за отбрана, което употребяват не е било деактивирано. Друг белег за към този момент осъществена офанзива са изтрити записи от листата със събития. Както и извънредно натоварване на ресурсите. Което може да е знак за конфигуриран криптоминьор. Важно е и да наблюдават за към този момент известни знаци за компрометиране след експлоатиране на React2Shell.