❗️❗️❗️Уязвимость в React Server – это 10 из 10!

В React Server Components обнаружена критическая уязвимость CVE 2025-55182, которую уже назвали «идеальной десяткой». Она получила максимальную оценку CVSS 10, а эксплойт доступен публично.

CVE 2025-55182 – это RCE-уязвимость, которая позволяет неаутентифицированному злоумышленнику выполнять произвольный код на уязвимом сервере. Под ударом версии: 19.0, 19.1.0, 19.1.1 и 19.2.0.

Что такое React?
React (иногда React.js или ReactJS) – это очень популярная JavaScript-библиотека для разработки фронтенд-части веб-сайтов и приложений.

React Server Components (RSC) – это механизм React, который позволяет часть работы приложения выполнять на сервере, а не в браузере. Это значительно снижает «вес» приложения и ускоряет его работу, так как вся работа выполняется где-то, а не в браузере клиента.

В чем суть уязвимости?
Функции сервера React (React Server Functions) позволяют клиенту вызывать функцию на сервере. React предоставляет точки взаимодействия и инструменты, которые используются фреймворками и бандлерами, чтобы React-код мог выполняться как на клиенте, так и на сервере. React преобразует запросы на стороне клиента в HTTP-запросы, которые перенаправляются на сервер. На сервере React транслирует HTTP-запрос в вызов функции и возвращает необходимыe данные клиенту.

Неаутентифицированный атакующий может сформировать вредоносный HTTP-запрос к любому endpoint’у Server Function, который при десериализации в React приводит к удалённому выполнению кода (RCE) на сервере. Это критическая ошибка в процессе проверки данных, которая позволяет злоумышленнику заложить абсолютно любую опасную нагрузку в запрос.

❗️Если в вашем приложении React не используется сервер или ваше приложение не использует фреймворк, сборщик или плагин сборщика, поддерживающий React Server Components, то вы в безопасности и уязвимость вас не затронула.

Почему она 10 из 10?
Любая RCE-уязвимость опасна, так как хакер получает контроль над сервером и может заставить его выполнить абсолютно любые действия: отдать данные, изменить файлы, установить вирусы и бэкдоры, выдать API, токены доступа, развернуть вируса-шифровальщика. Эксплуатация уязвимости относительно проста: захватить сервер можно одним HTTP-запросом.

Защитит ли меня WMX?
Да! В WMX ПроWAF есть виртуальный патч, закрывающий CVE 2025-55182. Чтобы его установить, обратитесь в нашу техподдержку.

Также мы настоятельно рекомендуем обновить React Server Components до актуальной версии. И, на всякий случай, проверьте логи: не было ли попыток отправить вредоносные сериализованные запросы на ваш сервер.

💲 Обосновать траты на кибербезопасность всегда было сложной задачей. ИБ-функция работает на предупреждение скрытых и часто недооценённых рисков, которые сложно оценить, оцифровать и показать в виде прямых убытков.

В интервью Cyber Media коммерческий директор компании WMX Ольга Мурзина и CISO компании MTS Web Services Виктор Бобыльков обсудили:

🔘Какие ИБ-риски сегодня в фокусе внимания CISO?
🔘Может ли ИБ-вендор помочь в обосновании трат на ИБ?
🔘Как измерить экономический эффект предотвращенной атаки?
🔘Как ИИ меняет подходы к построению ИБ?
🔘Какие актуальные угрозы лежат в основе бюджетных решений на 2026 год?

Интервью уже доступно в VK, в YouTube и в Rutube.

🗃Но мы понимаем, что конец года всегда полон забот, и времени совсем мало. Поэтому мы сделали тайм-код интервью для Cyber Media, чтобы вы могли сразу перейти на интересующий вас фрагмент:

0:31 Какие подходы вы рекомендуете для оценки эффективности инвестиций в защиту веба и API?
1:40 Какое место занимает защита веба среди приоритетов у CISO сегодня?
2:40 Может ли ИБ-вендор помочь в обосновании возврата инвестиций руководству?
4:19 Как компании оценивают риски, связанные с веб-атаками, сегодня?
5:15 Можно ли измерить экономический эффект предотвращённой атаки?
6:24 Отдельная защита для API – как обосновать покупку API Firewall?
7:49 Как выбрать подходящего вендора?
9:35 Какие ИБ-угрозы лежат в основе ваших бюджетных решений на 2026 год?
11:05 Как понять «достаточность» предлагаемых ИБ-мер?
12:10 Что критичнее для ИБ: недостаток финансирования или неумение тратить?
14:08 Как ИИ повлияет на рынок ИБ и веб-безопасности?

❄️❄️❄️❄️❄️❄️❄️❄️
Друзья, поздравляем вас с наступающим Новым Годом!!!

Пусть 2026 год пройдёт без zero-day и алертов, с хорошим SLA, и максимальным уровнем защиты – как в работе, так и в жизни!!!

Желаем, чтобы слово «инцидент» встречалось только в учебных сценариях, а не в реальности, а трафик на ваши сайты всегда был исключительно легитимным! И, конечно, желаем роста бизнесу, развития технологиям и удачи каждому из вас лично!

Загадывайте желания – а вашу безопасность мы возьмём на себя🥂🔔🎄🚗

🧦А еще под конец года мы хотим поделиться нашими личными итогами и планами на будущее. О том, каким для WMX был 2025-й – в праздничном интервью генерального директора WMX Анастасии Афониной на AM Live!

🔤Ссылки на видео:
📺 YouTube
📺 ВК Видео
📺 RuTube

Кто-то в праздники отдыхал, а кто-то усердно брутил!

Мы посмотрели, как хакеры пытались атаковать онлайн-ресурсы российских компаний в первые недели года. Спойлер: на каникулы киберпреступники решили не уходить.

📈Почти 50 млн попыток веб-атак за 2 недели на приложения наших клиентов. Это даже чуть больше, чем в среднем в течение года. Праздники для хакеров - идеальное время: дежурные смены сокращены, реакция медленнее.

📍 В топе целей:
➡️финансы;
➡️ИТ и цифровые сервисы;
➡️онлайн-магазины.

🔥 В топе атак:
➡️XSS - когда сайт говорит не своим голосом, а пользователь ему верит;
➡️Bruteforce - «а вдруг пароль всё ещё qwerty123?»;
➡️RCE - когда хочется сразу на сервер и без приглашения.

Генеральный директор WMX Анастасия Афонина:
"Новогодние праздники — это совсем не затишье в мире ИБ. Эти две недели становятся «мультипликатором риска»: сокращенные дежурные смены ИБ-отделов и, как следствие, замедленное реагирование делают даже базовые веб-атаки
более опасными".

➡️Подробнее про атаки в новогодние читайте на РБК

✅React4Shell (CVE-2025-55182): от краткосрочного «окна возможностей» до утраты интереса со стороны атакующих.

В начале декабря 2025 React4Shell взорвала интернет: критичность – 10 из 10, уязвимы миллионы сайтов, простая эксплуатация. Мы посмотрели, сколько попыток эксплуатации данной уязвимости заблокировал WMX ПроWAF с момента ее публикации - то есть с 3 декабря 2025.⬆️⬆️⬆️

Откуда резкий всплеск? 
🟠Резкий рост атак характерен для хайповых уязвимостей: много обсуждений и подробностей, появление proof-of-concept, оперативное добавление в ботнеты и сканеры. Хакеры работают на опережение и «на удачу», пытаясь найти уязвимые и еще не пропатченные системы.

Почему интерес резко падает? 
🟠Так же быстро интерес угасает: патчи безопасности появляются в течение первых недель, а в СЗИ добавляют механизмы противодействия. В итоге вероятность успеха и экономическая целесообразность атаки снижаются.
🟠Даже при высоком CVSS, уязвимый компонент может использоваться не так широко, как предполагалось изначально. Бессмертная Log4Shell годами остается главной CVE, так как на Java написано большинство веб-приложений. React тоже популярен, но для фронтенд-разработки, а React4Shell – это ошибка бэкенда, где React используется крайне редко. 
🟠Не исключено, хотя маловероятно, что такую громкую уязвимость начали блокировать сами операторы связи и вредоносный трафик просто не доходит до сетей компаний и их СЗИ. 

Значит, можно забыть про эту CVE?
CVE не исчезают бесследно - их продолжают эксплуатировать, хоть и не так активно. React4Shell - это RCE-уязвимость. Она включают возможность удаленного выполнения кода на сервере без аутентификации. Если хакер найдет незакрытую CVE-2025-55182, то он сможет получить полный контроль над веб-приложением, сервером, данными и даже продвинуться внутрь по сети всей организации. Именно поэтому стоит вовремя обновляться и использовать WAF, не оставляя злоумышленникам шанса.

💲ИБ почти всегда оказывается в числе «неудобных» статей расходов для компании.

➡️нет прямой выручки;
➡️сложно посчитать ROI;
➡️эффект виден только при кризисе (который при выстроенной ИБ-стратегии может так и не наступить).

И хотя ни дня не проходит без новостей о новых инцидентах, утечках данных и росте числа атак, для CISO обоснование бюджетов всё равно остаётся непростой задачей.

В новой статье для РБК коммерческий директор WMX Ольга Мурзина объясняет:
🔘Какие метрики для оценки ИБ-бюджета можно использовать вместо ROI?
🔘Как аргументировать траты, чтобы убрать эффект «абстрактности» угроз?
🔘Почему «пилот» — обязательный этап при выборе вендора?

➡️Подробнее читайте на сайте.

📈Декабрь 2025 показал рекорд по числу атак на сайты российских компаний, подсчитали эксперты WMX.

В конце года WMX ПроWAF отразил более 130 млн попыток веб-атак на защищаемые ресурсы. Это на треть превышает среднемесячные показатели в течение всего года.

🗂Помимо сезонности и желания хакеров воспользоваться предновогодней суетой, большую роль в скачке атак играет появление уязвимости React2Shell (она же React4Shell, CVE-2025-55182). К концу декабря число попыток ее эксплуатации выросло в 20 раз. Инфографикой про React мы делились здесь.

➡️Подробнее про ИБ-ландшафт в декабре можете прочитать на сайте WMX.

🟧Более 1 млрд веб-атак, аномальный интерес к промышленности, эффект React2Shell в декабре, сохранение лидерства XSS и рост брутфорса…Эксперты WMX подготовили отчет о веб-атаках, с которыми российские компании столкнулись в 2025 году.

Как мы считали?
Отчетный период составляет январь – декабрь 2025 года. Статистика основана на анализе и оценке веб-атак, которые были зафиксированы и отражены межсетевым экраном уровня веб-приложений WMX ПроWAF.

Что вы найдете в отчете:
➡️Актуальные тренды веб-угроз в 2025 году;
➡️Динамика атак по месяцам и кварталам;
➡️Отраслевая специфика атак.

➡️Полный отчет вы найдете здесь.

♻️Ingress NGINX – предсказуемый End-of-life 

Как известно, Ingress NGINX (community-версия) – один из самых популярных контроллеров входа для Kubernetes – прекращает официальную поддержку в марте 2026 года. И это серьезная проблема для ИБ-сообщества.

Что делает Ingress NGINX?
Ingress-контроллер – ключевой элемент Kubernetes. Он принимает весь внешний трафик, выполняя маршрутизацию внутри кластера. Это не только обеспечивает корректную работу приложений, но и позволяет равномерно распределить нагрузку в Kubernetes-окружении. 
Однако проект был некоммерческим и поддерживался несколькими разработчиками-энтузиастами. Он официально устарел из-за отсутствия устойчивой команды поддержки, накопившегося технического долга и стратегического перехода сообщества на новые стандарты управления трафиком.

Почему это проблема?
🔘Любые будущие уязвимости, найденные в коде NGINX или в самом контроллере, не будут исправляться, создавая угрозу безопасности;
🔘Ingress NGINX находится на границе сети, что делает его критичной точкой для атак;
🔘Повсеместное использование Ingress NGINX делает проблему безопасности масштабной и актуальной для тысяч компаний по всему миру.

Что делать компаниям?
🔘Провести инвентаризацию всех Ingress-объектов в инфраструктуре;
🔘Установить последнюю версию Ingress NGINX (если решение о миграции еще не принято);
🔘Оперативно продумать план миграции на альтернативные решения. 

Какая альтернатива?
Для замены Ingress NGINX (community) существует несколько альтернатив:
🔘NGINX Ingress Controller (open-source контроллер от F5/NGINX);
🔘F5 NGINX Ingress Controller и ANIC от Angie (почти то же самое, только за деньги и с поддержкой вендора);
🔘решения для других балансировщиков (Istio Ingress Gateway, HAProxy Ingress и т.п.);
🔘Gateway API (современная альтернатива Ingress для настройки входящего трафика в Kubernetes).

📢А вы уже подумали над заменой Ingress NGINX?
Пожалуйста, пройдите небольшой опрос ниже. Нам крайне важно понимать, какие технологии приоритетны для наших клиентов и партнеров, чтобы развивать продукты и делать их актуальными и удобными для всех.

💲Финансовый сектор остается лидером по числу веб-атак. В 2025 году каждая организация отрасли столкнулась в среднем с 8,6 млн попыток взлома сайта.

Как злоумышленники атакуют финансы?

⚡️Злоумышленники стараются получить полный контроль над системой
Четверть атак на финсектор – это попытки RCE (то есть удаленное исполнение кода в серверной части приложения). Если атака окажется успешной, то злоумышленник получит доступ к данным и деньгам клиентов, сможет скомпрометировать транзакции или установить бекдор для продвижения дальше в сеть банка.

⚡️Path Traversal — «разведка боем»
Ещё 15% атак используют уязвимость обхода пути. Часто это подготовительный этап для RCE или SQL-инъекций. Через Path Traversal злоумышленники узнают версии ПО и уязвимые компоненты.

⚡️Межсайтовый скриптинг (XSS) не сдает позиций
XSS позволяет злоумышленникам похищать сессии интернет-банка, перехватывать платежные данные и выполнять транзакции от имени клиента. Помимо удара по репутации, утечка данных ведет к крупным штрафам и санкциям со стороны регуляторов.

⚡️Злоумышленники целятся в логику
В 2 раза за год выросло число поведенческих атак на финсектор. Такие атаки имитируют поведение реальных пользователей и не требуют внедрения вредоносного кода в запросы к приложению. Например, это брутфорс, BOLA, dirbust. Из-за того, что поведенческие атаки не имеют вредоносной нагрузки, такие действия сложнее выявить – для этого нужны продвинутые, глубокие методы фильтрации веб-трафика.

📍Обсудить веб-угрозы в банковском секторе, тренды атак на отрасль и методы защиты вы сможете с экспертами WMX в рамках Уральского форума «Кибербезопасность в финансах». Он стартует уже завтра - 18 февраля.

📌Чтобы лично пообщаться с нашими специалистами, обсудить практические кейсы, задать вопросы о наших продуктах и обменяться опытом, напишите нам на почту: marketing@wmx.pro И мы организуем встречу на полях форума.

Увидимся в Екатеринбурге!