React2Shell漏洞利用蔓延，微軟稱數百臺設備已遭入侵

微軟表示，攻擊者已經通過React2Shell漏洞在"多個不同組織的數百臺設備"上實施攻擊，利用該漏洞執行代碼、部署惡意軟件，在某些情況下還投放了勒索軟件。

微軟本周在博客文章中表示，攻擊者正在積極利用CVE-2025-55182漏洞（即React2Shell），這是React Server Components中的一個嚴重缺陷，可被濫用在易受攻擊的服務器上運行任意代碼。

根據微軟威脅情報團隊的報告，該漏洞的利用已經遠遠超出了概念驗證階段，在多個行業和地區已確認有數百個系統遭到入侵。

微軟稱，攻擊者正在利用該漏洞執行任意命令、投放惡意軟件，并向受害者環境深處滲透，通常將攻擊活動偽裝成看似合法的應用程序流量。

React2Shell于本月早些時候首次曝光，當時研究人員警告React Server Components存在漏洞，可被利用執行攻擊者控制的代碼。該漏洞很快與其他弱點和配置錯誤形成攻擊鏈，早期攻擊活動被認為與中國和伊朗相關的威脅組織有關，這些組織大規模探測暴露的服務器。幾天后的另一波披露揭示了React工具中的額外"SecretLeak"漏洞，這讓剛剛開始理解React2Shell影響范圍的開發者更加不安。

微軟的最新研究結果表明，在公開披露后，利用該漏洞的攻擊嘗試迅速增加，攻擊者利用成功的漏洞利用向暴露的JavaScript應用程序后端推送惡意軟件，包括基于內存的下載器和加密貨幣挖礦程序。

其他威脅情報團隊也觀察到了同樣的情況。安全公司S-RM表示，已經響應了一起真實的入侵事件，在該事件中，React2Shell被用作初始訪問途徑來突破企業網絡并部署勒索軟件。

"這是S-RM首次觀察到該漏洞被以經濟利益為動機的威脅行為者用于網絡勒索攻擊，這凸顯了該漏洞已知影響的升級。與其他公開報告相比，迄今為止主要記錄的是該漏洞被用于植入后門惡意軟件或加密貨幣挖礦程序的實例，"該公司表示。

遙測數據也顯示存在工業規模的濫用。GreyNoise創始人Andrew Morris在LinkedIn上寫道，在披露數周后，該漏洞的利用仍然非常激烈。

"根據我們在GreyNoise Intelligence的統計，React2Shell仍在持續爆發，"Morris說。"我們繼續堆積了相當多的不同惡意軟件載荷。利用率仍然非常高，自披露以來，利用此漏洞的累計網絡數量幾乎每天都在創下歷史新高。"

這種規模反映了React Server Components的廣泛采用情況。該技術旨在將渲染工作卸載到服務器以提高性能，目前已嵌入無數生產應用程序中，一項估計表明39%的云環境容易受到React2Shell漏洞的影響。

React2Shell受害者的確切數量尚不清楚，但Palo Alto Networks已確認有50多個組織受到攻擊。然而，真實數字可能要高得多，因為研究人員上周警告稱，易受該漏洞影響的系統中有一半仍未修補。

對于仍在忙于應對的組織，微軟敦促團隊應用可用補丁，審計暴露的React Server Component部署，并監控利用漏洞的跡象。由于利用仍在激增且修補工作尚未完成，React2Shell仍然為濫用敞開大門。

Q&A

Q1：React2Shell漏洞是什么？它有多嚴重？

A：React2Shell（CVE-2025-55182）是React Server Components中的一個嚴重缺陷，攻擊者可以利用該漏洞在易受攻擊的服務器上運行任意代碼。目前已有數百臺設備遭到入侵，攻擊者利用它執行命令、部署惡意軟件甚至投放勒索軟件，影響范圍廣泛。

Q2：有多少系統受到React2Shell漏洞的影響？

A：根據估計，約39%的云環境容易受到React2Shell漏洞的影響。目前已確認有50多個組織遭到攻擊，涉及數百臺設備，但真實數字可能更高，因為易受影響的系統中有一半仍未修補。

Q3：企業應該如何防范React2Shell漏洞攻擊？

A：微軟建議組織立即應用可用的安全補丁，審計暴露的React Server Component部署情況，并持續監控系統是否存在被利用的跡象。由于該漏洞利用仍在激增，企業需要盡快采取行動完成修補工作。