За збоєм у роботі інтернету 5 грудня стоїть надзвичайно серйозна проблема

Олександр Гайдамашко

Основні тези

Причиною збою Cloudflare стало оновлення системи безпеки для усунення щойно виявленої вразливості React2Shell.
Вразливість React2Shell дозволяє зловмисникам виконувати віддалений код у застосунках на React і Next.js і вже активно експлуатується хакерськими групами.

Вразливість, що призвела до збою Cloudflare, експлуатують хакери з Китаю після розкриття

Інтернет врятовано саме вчасно / Колаж 24 Каналу/Depositphotos

У першій половині дня 5 грудня частина інтернету знову зупинилась через проблеми на боці Cloudflare, який забезпечує швидкість та безпеку численних інтернет-ресурсів по всьому світу. Користувачі не могли отримати доступ до улюблених сайтів, бо замість них бачили повідомлення про серверну помилку. Компанія усунула збій дуже швидко, а тепер ми дізналися, що за нею стоїть дещо дуже тривожне.

Що спричинило масштабний збій Cloudflare?

Користувачі багатьох сайтів раптово зіткнулися з повідомленням "500 Internal Server Error" замість звичних веб-сторінок. Така помилка сигналізує про проблеми на стороні сервера, а не про неполадки з пристроєм чи інтернет-з'єднанням відвідувача. Компанія оперативно відреагувала на ситуацію, опублікувавши інформацію про збій на своїй сторінці статусу. Представники Cloudflare повідомили, що виявлені проблеми стосуються панелі керування Dashboard та пов'язаних з нею програмних інтерфейсів API, пише 24 Канал.

Дивіться також Китай зламав роутери по всьому світу, включаючи українські: як перевірити, чи були ви ціллю

Причиною масштабного збою стало оновлення системи безпеки. Технічна команда Cloudflare впроваджувала виправлення для усунення вразливості React2Shell, яка стосується компонентів React Server Components та становить загрозу для всієї індустрії. Саме цей патч безпеки несподівано спричинив каскадні проблеми в роботі сервісу. Зокрема проблема виникла через зміну в роботі Web Application Firewall. Оновлений механізм розбору HTTP-запитів зробив мережу Cloudflare недоступною на деякий час.

Компанія наголосила, що інцидент не був результатом кібератаки. Виправлення розгорнула власна технічна команда з метою захисту від вразливості, про яку стало відомо цього тижня. Проте спроба підвищити рівень безпеки призвела до протилежного ефекту – мільйони веб-сайтів, включаючи власну панель керування Cloudflare, виявилися недоступними приблизно пів години, зазначили в Guardian.

Після виявлення проблеми фахівці компанії оперативно розробили та впровадили виправлення. Роботу всіх постраждалих сайтів було повністю відновлено. Cloudflare пообіцяла опублікувати детальний звіт про інцидент найближчим часом, щоб пояснити технічні аспекти збою та заходи, вжиті для запобігання подібним ситуаціям у майбутньому.

Сьогоднішній збій додався до тривожної серії інцидентів у Cloudflare.

Минулого місяця компанія вже пережила глобальну відмову мережі, яка затягнулася майже на 6 годин. Керівник Cloudflare Меттью Прінс тоді охарактеризував це як найгірший інцидент з 2019 року.
Крім того, у червні компанії довелося ліквідовувати ще одну масштабну проблему, що спричинила збої в авторизації через Cloudflare Access, порушила роботу Zero Trust WARP у кількох регіонах та зачепила інфраструктуру Google Cloud.

Що відомо про вразливість React2Shell?

Вразливість отримала ідентифікатор CVE-2025-55182 і статус максимальної критичності, пише Bleeping Computer. Вона зачіпає React – популярну JavaScript‑бібліотеку для вебу та нативних інтерфейсів, а також низку залежних фреймворків, зокрема Next.js, React Router, Waku, @parcel/rsc, @vitejs/plugin-rsc та RedwoodSDK.

Слабке місце знайшли у протоколі React Server Components під назвою Flight. За рахунок помилки в обробці даних зловмисник без автентифікації може досягти віддаленого виконання будь-якого хакерського коду в застосунках на React і Next.js. Для цього потрібно надіслати спеціально сформовані HTTP‑запити до endpoint, де працюють React Server Functions. Уразливими виявилися й деякі пакети за замовчуванням, серед яких react-server-dom-parcel, react-server-dom-turbopack та react-server-dom-webpack.

При цьому дослідники уточнюють, що проблема стосується не всіх версій React, а конкретного діапазону: 19.0, 19.1.0, 19.1.1 та 19.2.0, які виходили протягом останнього року. Інші гілки бібліотеки формально не підпадають під дію CVE-2025-55182, що дещо звужує масштаб небезпеки порівняно з першими оцінками.

Ми врятувались в останній момент

Як зазначає Bleeping Computer, кілька зловмисників, пов'язаних з Китаєм, почали використовувати вразливість React2Shell усього через кілька годин після того, як була розкрита інформація про проблему. Крім них, спеціалісти виявили активність з китайської інфраструктури, яку поки не вдалося прив'язати до конкретних відомих груп.

Фахівці з Amazon Web Services фіксують, що невдовзі після оприлюднення подробиць вразливості до її використання перейшли кілька хакерських груп, серед яких називають Earth Lamia та Jackpot Panda, які активно намагаються атакувати вразливі застосунки.

Earth Lamia спеціалізується на експлуатації вразливостей у веб-додатках. Її типові цілі – компанії фінансового сектору, логістики, роздрібної торгівлі, IT-компанії, університети та урядові установи в Латинській Америці, на Близькому Сході та в Південно-Східній Азії.
Група Jackpot Panda зазвичай атакує організації у Східній та Південно-Східній Азії, збираючи розвідувальну інформацію про корупцію та внутрішню безпеку.

На рівні національних структур також пролунали попередження. Національний центр кібербезпеки NHS England повідомив, що в мережі вже доступні кілька робочих proof‑of‑concept експлойтів для CVE-2025-55182. Аналітики центру прогнозують, що успішні атаки на основі цієї вразливості з високою ймовірністю триватимуть і надалі.

Дослідники компанії Wiz виявили, що 39% хмарних середовищ, які вони можуть відстежувати, потенційно вразливі до атак через React2Shell. Проблема зачіпає різні версії широко використовуваної бібліотеки, що автоматично ставить під загрозу тисячі залежних проєктів.

AWS фіксує різноманітні техніки атак: від використання публічних експлойтів до ручного тестування з налагодженням у реальному часі. Хакери намагалися виконувати Linux-команди, створювати файли у тимчасових директоріях та читати системні файли. Експерти підкреслюють, що зловмисники не просто запускають автоматизовані сканери, а активно налагоджують свої методи атак безпосередньо на живих цілях.

Лаклан Девідсон, дослідник, який виявив React2Shell, попередив про фейкові експлойти в мережі. Проте фахівці з Rapid7 та Elastic Security підтвердили справжність кількох експлойтів, опублікованих на GitHub. Компанія Assetnote випустила спеціальний сканер для перевірки середовищ на вразливість до React2Shell.

Розробники React та Next.js також уже випустили оновлення безпеки, однак проблема лишається критичною через можливість експлуатації без автентифікації та в стандартних налаштуваннях. Багато хакерських груп використовують спільну інфраструктуру для анонімізації, що ускладнює відстеження та ідентифікацію конкретних злочинців.