React Server Components zaifligi orqali serverlar egallanmoqda
Veb-ilovalar ishlab chiqishda keng qo‘llanilayotgan React’ning Server Components mexanizmida aniqlangan jiddiy zaiflik endilikda real hujumlarda faol qo‘llanilmoqda. CVE-2025-55182 identifikatori bilan ro‘yxatga olingan ushbu nuqson dastlab keng ko‘lamli skanerlashlar bilan kuzatilgan bo‘lsa, oradan ikki oy o‘tib, u yuqori hajmli, avtomatlashtirilgan va maqsadli hujum kampaniyalariga aylangani aniqlandi.
GreyNoise telemetriyasi (2026-yil 26-yanvardan 2-fevralgacha) shuni ko‘rsatadiki, tajovuzkorlar ushbu zaiflikdan foydalanib:
- kriptovalyuta qazib oluvchi dasturlarni (cryptominer) joylashtirmoqda,
- tizimlarda doimiy yashirin kirish (persistent access) o‘rnatmoqda.
Kuzatilgan zararli sessiyalarning yarmidan ko‘pi atigi ikkita IP manzil tomonidan amalga oshirilgani esa bu hujumlar tasodifiy emas, balki puxta avtomatlashtirilgan infratuzilma orqali boshqarilayotganini ko‘rsatadi.
Zaiflik mohiyati: Deserializatsiya xatosi va RCE
CVE-2025-55182 — bu React Server Components’dagi xavfli deserializatsiya (insecure deserialization) xatosi bo‘lib, u autentifikatsiyasiz masofadan kod bajarish (RCE) imkonini beradi. Tajovuzkor maxsus shakllantirilgan HTTP POST so‘rovi orqali server qayta ishlaydigan serializatsiyalangan ma’lumotni manipulyatsiya qiladi va natijada ixtiyoriy buyruqlar bajariladi.
| CVE | CVSS | Zaiflik turi | Ta’sirlangan dastur |
|---|---|---|---|
| CVE-2025-55182 | 10.0 (Critical) | Insecure Deserialization | React Server Components |
Ta’sirlangan versiyalar:
- React 19.0.0
- React 19.1.0 – 19.1.1
- React 19.2.0
Tuzatilgan versiyalar:
- 19.0.1
- 19.1.2
- 19.2.1
Hujumchilarning ikki xil strategiyasi
Tahlillar shuni ko‘rsatadiki, asosiy hujumchilar ikki turli maqsadni ko‘zlagan:
1. Kriptomayning kampaniyasi — 87.121.84[.]24
Ushbu manzil kuzatilgan trafikning 22 foizini (311 mingdan ortiq sessiya) tashkil etadi. Hujumchi maxsus skript orqali tashqi serverdan XMRig kriptomayner dasturini yuklab, tizim resurslarini yashirin qazib olish uchun ishlatadi.
2. Interaktiv kirish kampaniyasi — 193.142.147[.]209
Bu manzil esa 34 foiz trafik (488 mingdan ortiq sessiya) uchun javobgar. Bu yerda maqsad resurs o‘g‘irlash emas, balki tizimga reverse shell orqali jonli, interaktiv kirish o‘rnatishdir. Ular bevosita 12323-port orqali ulanishni yo‘lga qo‘yadi.
Bu yondashuv keyinchalik tarmoq bo‘ylab harakatlanish (lateral movement) va chuqurroq komprometatsiyani ko‘zlaydi.
Shubhali infratuzilma va botnet aloqalari
Kriptomayner joylashtiriladigan asosiy staging server — 205.185.127[.]97 — bir necha yildan buyon zararli domenlarni joylashtirib kelayotgani aniqlangan. Shu subnetdagi boshqa manzillar esa Mirai va Gafgyt botnet variantlarini tarqatmoqda.
Bu esa React zaifligi orqali amalga oshirilayotgan hujumlar ortida professional botnet operatorlari turganini ko‘rsatadi.
Qayerlar nishonga olinmoqda?
Hujumchilar asosan quyidagi portlarni nishonga olmoqda:
- 80
- 443
- 3000
- 3001
- 3002
Sababi oddiy: ko‘plab dasturchilar ishlab chiqish jarayonida serverni quyidagicha ishga tushiradi:
--host 0.0.0.0
Bu esa development serverni butun internet uchun ochib qo‘yadi. Aynan shunday noto‘g‘ri sozlamalar hujumchilarga eshik ochib bermoqda.
Komprometatsiya alomatlari (IOC)
IP manzillar:
| Manzil | Turi | Vazifasi |
|---|---|---|
| 193.142.147[.]209 | Hujumchi | Reverse shell |
| 87.121.84[.]24 | Hujumchi | XMRig yuklovchi |
| 205.185.127[.]97 | Staging | Zararli fayllar |
| 176.65.132[.]224 | Staging | Zararli fayllar |
Tarmoq belgisi:
- TCP 12323 port orqali tashqi ulanish
- HTTP POST so‘rovlarida noodatiy
Next-Actionsarlavhalari
Himoyalanish choralari
- React’ni zudlik bilan yangilash (19.0.1 / 19.1.2 / 19.2.1)
- Development portlarini tashqi tarmoqqa ochmaslik
--host 0.0.0.0ishlatilishini qat’iy nazorat qilish- WAF yoki reverse proxy orqali shubhali POST so‘rovlarni filtrlash
- Yuqoridagi IOC manzillarni firewall darajasida bloklash
- Serverlarda noodatiy CPU yuklanishi va noma’lum jarayonlarni tekshirish (kriptomayner alomati)
CVE-2025-55182 oddiy dasturiy xato emas. Bu — noto‘g‘ri sozlangan development muhiti va kechiktirilgan yangilanishlar qanday qilib butun server ustidan nazoratni yo‘qotishga olib kelishini yaqqol ko‘rsatadigan holatdir.
Tajovuzkorlar endi zaiflikni qidirib yurmayapti — ular zaiflik mavjud bo‘lgan joylarni aniq biladi va avtomatlashtirilgan tarzda ekspluatatsiya qilmoqda.
React Server Components’dan foydalanayotgan tashkilotlar uchun bu ogohlantirish emas, balki zudlik bilan harakat qilish zaruratidir.
