Киберисследователи зафиксировали активную кампанию злоумышленников, которые эксплуатируют критическую уязвимость React2Shell (CVE-2025-55182), чтобы перехватывать легитимный веб-трафик и направлять его через инфраструктуру, контролируемую атакующими.
Что произошло
По данным Datadog Security Labs, злоумышленники используют уязвимость React2Shell для внедрения вредоносных конфигураций в серверы NGINX. Такие конфигурации перехватывают запросы посетителей и перенаправляют их на серверы, управляемые атакующими.
Атаки затрагивают как обычные NGINX-инсталляции, так и панели управления вроде Baota (BT), особенно в инфраструктуре китайских хостеров и доменах определённых стран и организаций, включая правительственные и образовательные (.edu, .gov).
Как это работает
Злоумышленники используют набор shell-скриптов, который автоматически внедряет вредоносные правила в конфигурацию NGINX. Эти правила захватывают запросы, направленные на заранее определённые пути URL, и через директиву proxy_pass отправляют их на свои сервера.
Инструментарий состоит из нескольких скриптов с разными функциями:
zx.sh - оркестратор, запускающий остальные этапы через curl или wget или через сырое TCP-подключение;
bt.sh - модифицирует конфигурации на серверах с Baota Panel;
4zdh.sh - ищет и подготавливает места для внедрения конфигураций;
zdh.sh - более целенаправленно нацеливается на Linux-окружения и определённые домены;
ok.sh - собирает отчёт о созданных правилах перехвата трафика.
После внедрения таких правил трафик легитимных пользователей фактически проходит через сервера атакующих, что даёт злоумышленникам возможность читать, модифицировать или перенаправлять данные.
Масштабы и последствия
Исследователи GreyNoise отмечают, что за период с конца января по начало февраля 2026 года с более чем тысячи уникальных IP-адресов зафиксированы попытки эксплуатации React2Shell, и лишь два из них обеспечили более половины всех атак.
Известно, что злоумышленники используют разные методы после проникновения: одни загружают криптомайнеры, другие открывают обратные оболочки (reverse shells) для интерактивного доступа.
Что это значит для владельцев серверов
Уязвимость React2Shell имеет максимальную оценку опасности 10.0, а содержание успешной эксплуатации означает возможность выполнения произвольного кода на сервере без аутентификации. Эта уязвимость активно использовалась в различных кампаниях ещё с конца 2025 года.
Эксперты рекомендуют немедленно обновить компоненты React Server Components и проверить конфигурации NGINX на предмет внезапных перенаправлений или посторонних записей.
Источник: HN