За сбоем в работе интернета 5 декабря стоит чрезвычайно серьезная проблема

Александр Гайдамашко

Основные тезисы

Причиной сбоя Cloudflare стало обновление системы безопасности для устранения только что обнаруженной уязвимости React2Shell.
Уязвимость React2Shell позволяет злоумышленникам выполнять удаленный код в приложениях на React и Next.js и уже активно эксплуатируется хакерскими группами.

Уязвимость, приведшая к сбою Cloudflare, эксплуатируют хакеры из Китая после раскрытия

Интернет спасен именно вовремя / Коллаж 24 Канала/Depositphotos

В первой половине дня 5 декабря часть интернета остановилась из-за проблем на стороне Cloudflare, который обеспечивает скорость и безопасность интернет-ресурсов по всему миру. Пользователи не могли получить доступ к любимым сайтам, потому что вместо них видели сообщение о серверной ошибке. Компания устранила сбой очень быстро, а теперь мы узнали, что за ней стоит нечто очень тревожное.

Что вызвало масштабный сбой Cloudflare?

Пользователи многих сайтов внезапно столкнулись с сообщением "500 Internal Server Error" вместо привычных веб-страниц. Такая ошибка сигнализирует о проблемах на стороне сервера, а не о неполадках с устройством или интернет-соединением посетителя. Компания оперативно отреагировала на ситуацию, опубликовав информацию о сбое на своей странице статуса. Представители Cloudflare сообщили, что обнаруженные проблемы касаются панели управления Dashboard и связанных с ней программных интерфейсов API, пишет 24 Канал.

Причиной масштабного сбоя стало обновление системы безопасности. Техническая команда Cloudflare внедряла исправления для устранения уязвимости React2Shell, которая касается компонентов React Server Components и представляет угрозу для всей индустрии. Именно этот патч безопасности неожиданно вызвал каскадные проблемы в работе сервиса. В частности проблема возникла из-за изменения в работе Web Application Firewall. Обновленный механизм разбора HTTP-запросов сделал сеть Cloudflare недоступной на некоторое время.

Компания отметила, что инцидент не был результатом кибератаки. Исправления развернула собственная техническая команда с целью защиты от уязвимости, о которой стало известно на этой неделе. Однако попытка повысить уровень безопасности привела к противоположному эффекту – миллионы веб-сайтов, включая собственную панель управления Cloudflare, оказались недоступными примерно полчаса, отметили в Guardian.

После обнаружения проблемы специалисты компании оперативно разработали и внедрили исправления. Работа всех пострадавших сайтов была полностью восстановлена. Cloudflare пообещала опубликовать подробный отчет об инциденте в ближайшее время, чтобы объяснить технические аспекты сбоя и меры, принятые для предотвращения подобных ситуаций в будущем.

Сегодняшний сбой добавился к тревожной серии инцидентов в Cloudflare.

В прошлом месяце компания уже пережила глобальный отказ сети, который затянулся почти на 6 часов. Руководитель Cloudflare Мэттью Принс тогда охарактеризовал это как худший инцидент с 2019 года.
Кроме того, в июне компании пришлось ликвидировать еще одну масштабную проблему, повлекшую сбои в авторизации через Cloudflare Access, нарушила работу Zero Trust WARP в нескольких регионах и задела инфраструктуру Google Cloud.

Что известно об уязвимости React2Shell?

Уязвимость получила идентификатор CVE-2025-55182 и статус максимальной критичности, пишет Bleeping Computer. Она затрагивает React – популярную JavaScript-библиотеку для веба и нативных интерфейсов, а также ряд зависимых фреймворков, в частности Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc и RedwoodSDK.

Слабое место нашли в протоколе React Server Components под названием Flight. За счет ошибки в обработке данных злоумышленник без аутентификации может достичь удаленного выполнения любого хакерского кода в приложениях на React и Next.js. Для этого нужно отправить специально сформированные HTTP-запросы к endpoint, где работают React Server Functions. Уязвимыми оказались и некоторые пакеты по умолчанию, среди которых react-server-dom-parcel, react-server-dom-turbopack и react-server-dom-webpack.

При этом исследователи уточняют, что проблема касается не всех версий React, а конкретного диапазона: 19.0, 19.1.0, 19.1.1 и 19.2.0, которые выходили в течение последнего года. Другие ветки библиотеки формально не подпадают под действие CVE-2025-55182, что несколько сужает масштаб опасности по сравнению с первыми оценками.

Мы спаслись в последний момент

Как отмечает Bleeping Computer, несколько злоумышленников, связанных с Китаем, начали использовать уязвимость React2Shell всего через несколько часов после того, как была раскрыта информация о проблеме. Кроме них, специалисты обнаружили активность из китайской инфраструктуры, которую пока не удалось привязать к конкретным известным группам.

Специалисты из Amazon Web Services фиксируют, что вскоре после обнародования подробностей уязвимости к ее использованию перешли несколько хакерских групп, среди которых называют Earth Lamia и Jackpot Panda, которые активно пытаются атаковать уязвимые приложения.

Earth Lamia специализируется на эксплуатации уязвимостей в веб-приложениях. Ее типичные цели – компании финансового сектора, логистики, розничной торговли, IT-компании, университеты и правительственные учреждения в Латинской Америке, на Ближнем Востоке и в Юго-Восточной Азии.
Группа Jackpot Panda обычно атакует организации в Восточной и Юго-Восточной Азии, собирая разведывательную информацию о коррупции и внутренней безопасности.

На уровне национальных структур также прозвучали предупреждения. Национальный центр кибербезопасности NHS England сообщил, что в сети уже доступны несколько рабочих proof-of-concept эксплойтов для CVE-2025-55182. Аналитики центра прогнозируют, что успешные атаки на основе этой уязвимости с высокой вероятностью будут продолжаться и в дальнейшем.

Исследователи компании Wiz обнаружили, что 39% облачных сред, которые они могут отслеживать, потенциально уязвимы к атакам через React2Shell. Проблема затрагивает различные версии широко используемой библиотеки, что автоматически ставит под угрозу тысячи зависимых проектов.

AWS фиксирует различные техники атак: от использования публичных эксплойтов до ручного тестирования с отладкой в реальном времени. Хакеры пытались выполнять Linux-команды, создавать файлы во временных директориях и читать системные файлы. Эксперты подчеркивают, что злоумышленники не просто запускают автоматизированные сканеры, а активно отлаживают свои методы атак непосредственно на живых целях.

Лаклан Дэвидсон, исследователь, который обнаружил React2Shell, предупредил о фейковых эксплойтах в сети. Однако специалисты из Rapid7 и Elastic Security подтвердили подлинность нескольких эксплойтов, опубликованных на GitHub. Компания Assetnote выпустила специальный сканер для проверки сред на уязвимость к React2Shell.

Разработчики React и Next.js также уже выпустили обновление безопасности, однако проблема остается критической из-за возможности эксплуатации без аутентификации и в стандартных настройках. Многие хакерские группы используют общую инфраструктуру для анонимизации, что затрудняет отслеживание и идентификацию конкретных преступников.