微軟表示，攻擊者已經(jīng)通過(guò)React2Shell漏洞在"多個(gè)不同組織的數(shù)百臺(tái)設(shè)備"上實(shí)施攻擊，利用該漏洞執(zhí)行代碼、部署惡意軟件，在某些情況下還投放了勒索軟件。

微軟本周在博客文章中表示，攻擊者正在積極利用CVE-2025-55182漏洞（即React2Shell），這是React Server Components中的一個(gè)嚴(yán)重缺陷，可被濫用在易受攻擊的服務(wù)器上運(yùn)行任意代碼。

根據(jù)微軟威脅情報(bào)團(tuán)隊(duì)的報(bào)告，該漏洞的利用已經(jīng)遠(yuǎn)遠(yuǎn)超出了概念驗(yàn)證階段，在多個(gè)行業(yè)和地區(qū)已確認(rèn)有數(shù)百個(gè)系統(tǒng)遭到入侵。

微軟稱，攻擊者正在利用該漏洞執(zhí)行任意命令、投放惡意軟件，并向受害者環(huán)境深處滲透，通常將攻擊活動(dòng)偽裝成看似合法的應(yīng)用程序流量。

React2Shell于本月早些時(shí)候首次曝光，當(dāng)時(shí)研究人員警告React Server Components存在漏洞，可被利用執(zhí)行攻擊者控制的代碼。該漏洞很快與其他弱點(diǎn)和配置錯(cuò)誤形成攻擊鏈，早期攻擊活動(dòng)被認(rèn)為與中國(guó)和伊朗相關(guān)的威脅組織有關(guān)，這些組織大規(guī)模探測(cè)暴露的服務(wù)器。幾天后的另一波披露揭示了React工具中的額外"SecretLeak"漏洞，這讓剛剛開(kāi)始理解React2Shell影響范圍的開(kāi)發(fā)者更加不安。

微軟的最新研究結(jié)果表明，在公開(kāi)披露后，利用該漏洞的攻擊嘗試迅速增加，攻擊者利用成功的漏洞利用向暴露的JavaScript應(yīng)用程序后端推送惡意軟件，包括基于內(nèi)存的下載器和加密貨幣挖礦程序。

其他威脅情報(bào)團(tuán)隊(duì)也觀察到了同樣的情況。安全公司S-RM表示，已經(jīng)響應(yīng)了一起真實(shí)的入侵事件，在該事件中，React2Shell被用作初始訪問(wèn)途徑來(lái)突破企業(yè)網(wǎng)絡(luò)并部署勒索軟件。

"這是S-RM首次觀察到該漏洞被以經(jīng)濟(jì)利益為動(dòng)機(jī)的威脅行為者用于網(wǎng)絡(luò)勒索攻擊，這凸顯了該漏洞已知影響的升級(jí)。與其他公開(kāi)報(bào)告相比，迄今為止主要記錄的是該漏洞被用于植入后門(mén)惡意軟件或加密貨幣挖礦程序的實(shí)例，"該公司表示。

遙測(cè)數(shù)據(jù)也顯示存在工業(yè)規(guī)模的濫用。GreyNoise創(chuàng)始人Andrew Morris在LinkedIn上寫(xiě)道，在披露數(shù)周后，該漏洞的利用仍然非常激烈。

"根據(jù)我們?cè)贕reyNoise Intelligence的統(tǒng)計(jì)，React2Shell仍在持續(xù)爆發(fā)，"Morris說(shuō)。"我們繼續(xù)堆積了相當(dāng)多的不同惡意軟件載荷。利用率仍然非常高，自披露以來(lái)，利用此漏洞的累計(jì)網(wǎng)絡(luò)數(shù)量幾乎每天都在創(chuàng)下歷史新高。"

這種規(guī)模反映了React Server Components的廣泛采用情況。該技術(shù)旨在將渲染工作卸載到服務(wù)器以提高性能，目前已嵌入無(wú)數(shù)生產(chǎn)應(yīng)用程序中，一項(xiàng)估計(jì)表明39%的云環(huán)境容易受到React2Shell漏洞的影響。

React2Shell受害者的確切數(shù)量尚不清楚，但Palo Alto Networks已確認(rèn)有50多個(gè)組織受到攻擊。然而，真實(shí)數(shù)字可能要高得多，因?yàn)檠芯咳藛T上周警告稱，易受該漏洞影響的系統(tǒng)中有一半仍未修補(bǔ)。

對(duì)于仍在忙于應(yīng)對(duì)的組織，微軟敦促團(tuán)隊(duì)?wèi)?yīng)用可用補(bǔ)丁，審計(jì)暴露的React Server Component部署，并監(jiān)控利用漏洞的跡象。由于利用仍在激增且修補(bǔ)工作尚未完成，React2Shell仍然為濫用敞開(kāi)大門(mén)。

Q&A

Q1：React2Shell漏洞是什么？它有多嚴(yán)重？

A：React2Shell（CVE-2025-55182）是React Server Components中的一個(gè)嚴(yán)重缺陷，攻擊者可以利用該漏洞在易受攻擊的服務(wù)器上運(yùn)行任意代碼。目前已有數(shù)百臺(tái)設(shè)備遭到入侵，攻擊者利用它執(zhí)行命令、部署惡意軟件甚至投放勒索軟件，影響范圍廣泛。

Q2：有多少系統(tǒng)受到React2Shell漏洞的影響？

A：根據(jù)估計(jì)，約39%的云環(huán)境容易受到React2Shell漏洞的影響。目前已確認(rèn)有50多個(gè)組織遭到攻擊，涉及數(shù)百臺(tái)設(shè)備，但真實(shí)數(shù)字可能更高，因?yàn)橐资苡绊懙南到y(tǒng)中有一半仍未修補(bǔ)。

Q3：企業(yè)應(yīng)該如何防范React2Shell漏洞攻擊？

A：微軟建議組織立即應(yīng)用可用的安全補(bǔ)丁，審計(jì)暴露的React Server Component部署情況，并持續(xù)監(jiān)控系統(tǒng)是否存在被利用的跡象。由于該漏洞利用仍在激增，企業(yè)需要盡快采取行動(dòng)完成修補(bǔ)工作。