Критична вразливість React2Shell (CVE-2025-55182) спричинила глобальну хвилю автоматизованих атак: ботнети зламують роутери, камери, NAS-системи та «розумні» пристрої, використовуючи простий веб-запит для виконання привілейованого коду.
Дослідники Bitdefender зафіксували понад 150 000 експлойтів щодня після оприлюднення уразливості. React2Shell, що виникає у React Server Components, дозволяє зловмиснику виконувати довільні команди на сервері без будь-якої авторизації.
Через мінімальний розмір корисного навантаження, простоту автоматизації та широке поширення Node.js-екосистеми вразливість одразу була інтегрована у ботнети. Атакувальники сканують глобальні IP-діапазони й атакують будь-які доступні пристрої.
Bitdefender відзначає, що значна частина трафіку походить із польського датацентру, де один IP згенерував понад 12 000 атак. Додаткові атаки фіксувалися з США, Франції, Нідерландів, Ірландії, Китаю, Сінгапуру та Гонконгу.
розумні розетки
смартфони
NAS-сховища
IP-камери та системи відеоспостереження
роутери
Dev-плати
Smart TV та інша споживча електроніка
За даними дослідників, декомпрометовано сотні пристроїв Next.js, тоді як десятки тисяч серверів залишаються відкритими й досі. До 7 грудня мережеві сканери знаходили 29 000 уразливих IP-адрес (порівняно з 77 600 кількома днями раніше). Китайські хакери вже активно використовують нову вразливість у своїх кампаніях.
На початку місяця через React2Shell збій отримав навіть Cloudflare — проблемне оновлення React спричинило масштабний збій сервісів.
React2Shell називають «найгіршим сценарієм» для компонента, який має прямий доступ до серверного середовища. Вразливість у RSC (React Server Components) відкрила новий клас атак на серверні AI-та web-фреймворки, що працюють з автоматичним рендерингом.
React2Shell — чергове нагадування, що навіть популярні фреймворки можуть миттєво стати зброєю у руках ботнет-операторів. Масштаб атак показує: організаціям і власникам розумних пристроїв потрібно негайно оновлювати системи, закривати відкриті порти та застосовувати мінімальні принципи доступу. Поки платформа не оновлена — будь-який пристрій може стати частиною ботнету.
