漏洞曝光即遭利用:卡巴斯基蜜罐捕获CVE-2025-55182在野攻击
2025年12月4日,研究人员公开了CVSS评分为10.0的严重漏洞CVE-2025-55182的细节。该漏洞被非正式地称为React2Shell,因为它影响了使用React库构建的Web应用程序中的React服务器组件(RSC)功能。RSC通过在客户端和服务器之间分配任务来加速UI渲染。该缺陷被归类为CWE-502(不可信数据的反序列化),它允许攻击者以服务器进程的权限执行命令,以及在Web应用程序可访问的目录中读写文件。
该漏洞利用代码发布后不久,我们的蜜罐就开始捕获到利用CVE-2025-55182的尝试。本文分析了攻击模式、威胁行为者试图投递到易受攻击设备上的恶意软件,并分享了风险缓解建议。
漏洞技术简要分析
React应用程序构建在基于组件的模型之上。这意味着应用程序或框架的每个部分都应独立运行,并为其他组件提供清晰、简单的交互方法。虽然这种方法允许灵活开发和添加功能,但它可能需要用户下载大量数据,导致跨设备性能不一致。这正是React服务器组件旨在解决的问题。
该漏洞存在于RSC的服务器操作组件中。要到达易受攻击的函数,攻击者只需向服务器发送一个包含用于执行的序列化数据负载的POST请求即可。允许不安全反序列化的处理程序部分功能如下所示:
(此处为原文章图片:易受攻击(左)和已修补(右)函数的对比)
卡巴斯基蜜罐上的CVE-2025-55182
由于该漏洞利用相当简单,攻击者迅速将其添加到他们的武器库中。卡巴斯基蜜罐于12月5日记录到首次利用尝试。到12月8日星期一,尝试次数显著增加,并持续上升。
(此处为原文章图片:按天统计针对卡巴斯基蜜罐的CVE-2025-55182攻击次数)
攻击者首先探测他们的目标以确保它不是蜜罐:他们运行whoami,在bash中执行乘法运算,或计算随机字符串的MD5或Base64哈希,以验证他们的代码可以在目标机器上执行。
在大多数情况下,他们随后会尝试使用wget或curl等命令行Web客户端下载恶意文件。此外,一些攻击者会投递基于PowerShell的Windows负载,用于安装XMRig(一种流行的门罗币挖矿程序)。
CVE-2025-55182迅速被众多恶意软件活动武器化,从经典的Mirai/Gafgyt变种到挖矿程序以及RondoDox僵尸网络。感染系统后,RondoDox会立即行动,其加载程序脚本会立即着手清除竞争对手:
(此处为原文章图片:代码示例:RondoDox 清除竞品恶意软件)
除了检查硬编码路径外,RondoDox还会禁用AppArmor和SELinux安全模块,并采用更复杂的方法来查找和终止那些已删除ELF文件以进行伪装的进程。
只有在完成这些步骤后,脚本才会通过依次尝试三种不同的加载程序(wget、curl和BusyBox中的wget)来下载并执行主要负载。它还会遍历针对不同CPU架构的18种不同的恶意软件构建版本,使其既能感染IoT设备,也能感染标准的x86_64 Linux服务器。
在一些攻击中,攻击者并未部署恶意软件,而是试图窃取Git和云环境的凭据。成功入侵可能导致云基础架构受损、软件供应链攻击和其他严重后果。
风险缓解措施
我们强烈建议通过应用相应模块和捆绑包开发者发布的补丁来更新相关软件包。
易受攻击的React服务器组件版本:
- react-server-dom-webpack (19.0.0, 19.1.0, 19.1.1, 19.2.0)
- react-server-dom-parcel (19.0.0, 19.1.0, 19.1.1, 19.2.0)
- react-server-dom-turbopack (19.0.0, 19.1.0, 19.1.1, 19.2.0)
已确认使用React服务器组件的捆绑包和模块:
- next
- react-router
- waku
- @parcel/rsc
- @vitejs/plugin-rsc
- rwsdk
为防止在部署补丁期间被利用,请考虑阻止在参数或请求正文中包含以下关键词的所有POST请求:
#constructor
#__proto__
#prototype
vm#runInThisContext
vm#runInNewContext
child_process#execSync
child_process#execFileSync
child_process#spawnSync
module#_load
module#createRequire
fs#readFileSync
fs#writeFileSync
s#appendFileSync
结论
由于利用简单且工作PoC公开可用,威胁行为者迅速采用了CVE-2025-55182。短期内攻击很可能会继续增长。
我们建议立即将React更新到最新的修补版本,扫描易受攻击的主机以查找恶意软件迹象,并更改其上存储的任何凭据。
危害指标
恶意软件URL
hxxp://172.237.55.180/b
hxxp://172.237.55.180/c
hxxp://176.117.107.154/bot
hxxp://193.34.213.150/nuts/bolts
hxxp://193.34.213.150/nuts/x86
hxxp://23.132.164.54/bot
hxxp://31.56.27.76/n2/x86
hxxp://31.56.27.97/scripts/4thepool_miner[.]sh
hxxp://41.231.37.153/rondo[.]aqu[.]sh
hxxp://41.231.37.153/rondo[.]arc700
hxxp://41.231.37.153/rondo[.]armeb
hxxp://41.231.37.153/rondo[.]armebhf
hxxp://41.231.37.153/rondo[.]armv4l
hxxp://41.231.37.153/rondo[.]armv5l
hxxp://41.231.37.153/rondo[.]armv6l
hxxp://41.231.37.153/rondo[.]armv7l
hxxp://41.231.37.153/rondo[.]i486
hxxp://41.231.37.153/rondo[.]i586
hxxp://41.231.37.153/rondo[.]i686
hxxp://41.231.37.153/rondo[.]m68k
hxxp://41.231.37.153/rondo[.]mips
hxxp://41.231.37.153/rondo[.]mipsel
hxxp://41.231.37.153/rondo[.]powerpc
hxxp://41.231.37.153/rondo[.]powerpc-440fp
hxxp://41.231.37.153/rondo[.]sh4
hxxp://41.231.37.153/rondo[.]sparc
hxxp://41.231.37.153/rondo[.]x86_64
hxxp://51.81.104.115/nuts/bolts
hxxp://51.81.104.115/nuts/x86
hxxp://51.91.77.94:13339/termite/51.91.77.94:13337
hxxp://59.7.217.245:7070/app2
hxxp://59.7.217.245:7070/c[.]sh
hxxp://68.142.129.4:8277/download/c[.]sh
hxxp://89.144.31.18/nuts/bolts
hxxp://89.144.31.18/nuts/x86
hxxp://gfxnick.emerald.usbx[.]me/bot
hxxp://meomeoli.mooo[.]com:8820/CLoadPXP/lix.exe?pass=PXPa9682775lckbitXPRopGIXPIL
hxxps://api.hellknight[.]xyz/js
hxxps://gist.githubusercontent[.]com/demonic-agents/39e943f4de855e2aef12f34324cbf150/raw/e767e1cef1c35738689ba4df9c6f7f29a6afba1a/setup_c3pool_miner[.]sh
MD5哈希
0450fe19cfb91660e9874c0ce7a121e0
3ba4d5e0cf0557f03ee5a97a2de56511
622f904bb82c8118da2966a957526a2b
791f123b3aaff1b92873bd4b7a969387
c6381ebf8f0349b8d47c5e623bbcef6b
e82057e481a2d07b177d9d94463a7441
uGpEIrMNkeaFrgRZH70KO5/f5B0+rBvt6oshkuWYHlqYSIJA4bTBtAdvqjSfJGa2YAZ9i1bsglaBp5V9SDKz5Q==
