React2Shell漏洞利用蔓延，微软称数百台设备已遭入侵

微软表示，攻击者已经通过React2Shell漏洞在"多个不同组织的数百台设备"上实施攻击，利用该漏洞执行代码、部署恶意软件，在某些情况下还投放了勒索软件。

微软本周在博客文章中表示，攻击者正在积极利用CVE-2025-55182漏洞（即React2Shell），这是React Server Components中的一个严重缺陷，可被滥用在易受攻击的服务器上运行任意代码。

根据微软威胁情报团队的报告，该漏洞的利用已经远远超出了概念验证阶段，在多个行业和地区已确认有数百个系统遭到入侵。

微软称，攻击者正在利用该漏洞执行任意命令、投放恶意软件，并向受害者环境深处渗透，通常将攻击活动伪装成看似合法的应用程序流量。

React2Shell于本月早些时候首次曝光，当时研究人员警告React Server Components存在漏洞，可被利用执行攻击者控制的代码。该漏洞很快与其他弱点和配置错误形成攻击链，早期攻击活动被认为与中国和伊朗相关的威胁组织有关，这些组织大规模探测暴露的服务器。几天后的另一波披露揭示了React工具中的额外"SecretLeak"漏洞，这让刚刚开始理解React2Shell影响范围的开发者更加不安。

微软的最新研究结果表明，在公开披露后，利用该漏洞的攻击尝试迅速增加，攻击者利用成功的漏洞利用向暴露的JavaScript应用程序后端推送恶意软件，包括基于内存的下载器和加密货币挖矿程序。

其他威胁情报团队也观察到了同样的情况。安全公司S-RM表示，已经响应了一起真实的入侵事件，在该事件中，React2Shell被用作初始访问途径来突破企业网络并部署勒索软件。

"这是S-RM首次观察到该漏洞被以经济利益为动机的威胁行为者用于网络勒索攻击，这凸显了该漏洞已知影响的升级。与其他公开报告相比，迄今为止主要记录的是该漏洞被用于植入后门恶意软件或加密货币挖矿程序的实例，"该公司表示。

遥测数据也显示存在工业规模的滥用。GreyNoise创始人Andrew Morris在LinkedIn上写道，在披露数周后，该漏洞的利用仍然非常激烈。

"根据我们在GreyNoise Intelligence的统计，React2Shell仍在持续爆发，"Morris说。"我们继续堆积了相当多的不同恶意软件载荷。利用率仍然非常高，自披露以来，利用此漏洞的累计网络数量几乎每天都在创下历史新高。"

这种规模反映了React Server Components的广泛采用情况。该技术旨在将渲染工作卸载到服务器以提高性能，目前已嵌入无数生产应用程序中，一项估计表明39%的云环境容易受到React2Shell漏洞的影响。

React2Shell受害者的确切数量尚不清楚，但Palo Alto Networks已确认有50多个组织受到攻击。然而，真实数字可能要高得多，因为研究人员上周警告称，易受该漏洞影响的系统中有一半仍未修补。

对于仍在忙于应对的组织，微软敦促团队应用可用补丁，审计暴露的React Server Component部署，并监控利用漏洞的迹象。由于利用仍在激增且修补工作尚未完成，React2Shell仍然为滥用敞开大门。

Q&A

Q1：React2Shell漏洞是什么？它有多严重？

A：React2Shell（CVE-2025-55182）是React Server Components中的一个严重缺陷，攻击者可以利用该漏洞在易受攻击的服务器上运行任意代码。目前已有数百台设备遭到入侵，攻击者利用它执行命令、部署恶意软件甚至投放勒索软件，影响范围广泛。

Q2：有多少系统受到React2Shell漏洞的影响？

A：根据估计，约39%的云环境容易受到React2Shell漏洞的影响。目前已确认有50多个组织遭到攻击，涉及数百台设备，但真实数字可能更高，因为易受影响的系统中有一半仍未修补。

Q3：企业应该如何防范React2Shell漏洞攻击？

A：微软建议组织立即应用可用的安全补丁，审计暴露的React Server Component部署情况，并持续监控系统是否存在被利用的迹象。由于该漏洞利用仍在激增，企业需要尽快采取行动完成修补工作。