Η Microsoft έχει κυκλοφορήσει ολοκληρωμένους μετριασμούς για μια κρίσιμη ευπάθεια που ονομάζεται React2Shell (CVE-2025-55182), η οποία ενέχει σοβαρούς κινδύνους για τα React Server Components και τα περιβάλλοντα Next.js.
Με μέγιστη βαθμολογία CVSS 10,0, αυτό το ελάττωμα εκτέλεσης απομακρυσμένου κώδικα πριν από τον έλεγχο ταυτότητας επιτρέπει στους παράγοντες απειλών να παραβιάζουν διακομιστές μέσω ενός μόνο κακόβουλου αιτήματος HTTP.
Απόπειρες εκμετάλλευσης εντοπίστηκαν για πρώτη φορά στις 5 Δεκεμβρίου 2025, στοχεύοντας συστήματα Windows και Linux με ανησυχητικά ποσοστά επιτυχίας.
Η ευπάθεια προέρχεται από τον τρόπο με τον οποίο το οικοσύστημα React Server Components επεξεργάζεται δεδομένα χρησιμοποιώντας το πρωτόκολλο Flight.
Όταν ένας πελάτης ζητά δεδομένα, ο διακομιστής αναλύει το εισερχόμενο ωφέλιμο φορτίο για να εκτελέσει λογική από την πλευρά του διακομιστή. Ωστόσο, η αποτυχία επικύρωσης αυτών των εισόδων σωστά επιτρέπει στους εισβολείς να εισάγουν κακόβουλες δομές που ο διακομιστής δέχεται ως έγκυρες.
Αυτή η παράβλεψη οδηγεί σε ρύπανση πρωτότυπου, επιτρέποντας τελικά στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στον υποκείμενο διακομιστή.
αναλυτές της Microsoft αναγνωρισθείς οι καμπάνιες κακόβουλου λογισμικού που εκμεταλλεύονται αυτό το ελάττωμα λίγο μετά την εμφάνισή του. Παρατήρησαν ότι οι επιθέσεις συνήθως ξεκινούν με ένα επεξεργασμένο αίτημα POST που αποστέλλεται σε μια ευάλωτη εφαρμογή Ιστού.
Μόλις το backend αποσειροποιήσει αυτήν την είσοδο, ο κακόβουλος κώδικας εκτελείται στο χρόνο εκτέλεσης του Node.js, παρακάμπτοντας τους τυπικούς ελέγχους ασφαλείας.
Αυτή η προεπιλεγμένη διαμόρφωση αξιοπιστίας καθιστά την ευπάθεια ιδιαίτερα επικίνδυνη, καθώς δεν απαιτεί ειδική ρύθμιση ή αλληλεπίδραση με τον χρήστη για να την εκμεταλλευτεί, αφήνοντας εκτεθειμένα πολλά εταιρικά περιβάλλοντα.
Μηχανισμός μόλυνσης και επιμονή
Μόλις αποκτηθεί η αρχική πρόσβαση, οι παράγοντες της απειλής κινούνται γρήγορα για να εδραιώσουν την επιμονή και να επεκτείνουν τον έλεγχό τους στο παραβιασμένο δίκτυο.
Η αλυσίδα επίθεσης συχνά περιλαμβάνει την ανάπτυξη αντίστροφων κελυφών που συνδέονται ξανά με διακομιστές Cobalt Strike που ελέγχονται από τους εισβολείς, επιτρέποντας διαρκή απομακρυσμένη πρόσβαση.
.webp.jpeg "Microsoft Λεπτομέρειες μετριασμούς κατά της ευπάθειας React2Shell RCE σε στοιχεία διακομιστή React")
Το διάγραμμα επίθεσης που απεικονίζει δραστηριότητα που οδηγεί σε δράση σε στόχους απεικονίζει την τυπική ροή αυτών των εισβολών.
Οι εισβολείς χρησιμοποιούν συχνά εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης όπως το MeshAgent ή τροποποιούν τα αρχεία συστήματος, όπως τα authorized_keys, για να διατηρήσουν την πρόσβαση ακόμη και μετά τις επανεκκινήσεις.
Για να αποφύγουν τον εντοπισμό, ενδέχεται να χρησιμοποιήσουν βάσεις σύνδεσης για να αποκρύψουν κακόβουλες διεργασίες από εργαλεία παρακολούθησης συστήματος.
Περαιτέρω ανάλυση αποκαλύπτει μια ποικιλία ωφέλιμων φορτίων που παραδίδονται, συμπεριλαμβανομένων των trojans απομακρυσμένης πρόσβασης όπως το VShell και το EtherRAT, καθώς και τα cryptominers XMRig.
.webp.jpeg "Microsoft Λεπτομέρειες μετριασμούς κατά της ευπάθειας React2Shell RCE σε στοιχεία διακομιστή React")
Αυτό το παράδειγμα αντίστροφου κελύφους που παρατηρήθηκε σε μία από τις καμπάνιες υπογραμμίζει τις δομές εντολών που χρησιμοποιούνται κατά τη διάρκεια αυτών των εισβολών.
Πέρα από τον άμεσο έλεγχο, οι εισβολείς απαριθμούν ενεργά τις λεπτομέρειες του συστήματος και τις μεταβλητές περιβάλλοντος για να κλέψουν διακριτικά ταυτότητας cloud για το Azure, το AWS και το Google Cloud Platform.
Αυτή η κλοπή διαπιστευτηρίων διευκολύνει την πλευρική μετακίνηση μεταξύ των πόρων cloud, ενισχύοντας σημαντικά τον αντίκτυπο της παραβίασης σε οργανισμούς που βασίζονται σε αυτές τις ολοκληρωμένες υπηρεσίες.
