Kategoria: Security News

Wprowadzenie do problemu / definicja luki

React2Shell to nienadzorowana (pre-auth) luka RCE o maksymalnym poziomie krytyczności CVSS 10.0 w React Server Components (RSC). Błąd dotyczy sposobu dekodowania ładunków kierowanych do React Server Functions w protokole Flight, co umożliwia zdalne wykonanie kodu na serwerze przy pomocy pojedynczego, specjalnie sformatowanego żądania HTTP. Poprawki wydano dla gałęzi 19.x (19.0.1, 19.1.2, 19.2.1).

W skrócie

• Status: aktywnie wykorzystywana na szeroką skalę (dodana do CISA KEV).
• Zasięg: aplikacje używające RSC (React 19.x; także projekty oparte na App Router w Next.js).
• Technika ataku: nadużycie deserializacji/parsowania obiektów w endpoincie funkcji serwerowych (Flight).
• Skutki: wdrażanie backdoorów i implantów linuksowych, m.in. KSwapDoor i ZnDoor; kampanie przypisywane wielu aktorom państwowym.
• Działania zalecane: natychmiastowy update do wersji załatanych, blokady WAF, reguły detekcyjne/telemetria, przegląd serwerów RSC pod kątem artefaktów po eksploatacji.

Kontekst / historia / powiązania

Luka została odpowiedzialnie zgłoszona 29 listopada 2025 r., a 3 grudnia 2025 r. zespół React opublikował oficjalny komunikat i poprawki. W kolejnych dniach badacze i dostawcy chmury potwierdzili masowe próby eksploatacji w godzinach od publikacji – w tym przez grupy o powiązaniach z Chinami. CISA dodała CVE do Known Exploited Vulnerabilities (KEV), co potwierdza realne ataki w środowiskach produkcyjnych.

Analiza techniczna / szczegóły luki

• Wektor: publiczny endpoint React Server Functions (część RSC) przyjmujący strumienie/ramki Flight.
• Przyczyna: niebezpieczne parsowanie/„deserializacja” referencji obiektów podczas dekodowania ładunku – możliwe jest wstrzyknięcie konstrukcji, które prowadzą do wykonania arbitralnego kodu po stronie serwera.
• Zasięg wersji: React RSC 19.0.0, 19.1.0, 19.1.1, 19.2.0 (i ekosystemy korzystające z RSC, np. Next.js App Router).
• Naprawa: React 19.0.1 / 19.1.2 / 19.2.1 – zaostrzone dekodowanie i walidacja wejścia po stronie RSC/Flight.
• Identyfikator: CVE-2025-55182 (wpis NVD/CVE).
  Powyższe zostało opisane w oficjalnym advisory React i rekordzie CVE/NVD.

Praktyczne konsekwencje / ryzyko

• Backdoory na Linuksa: badacze odnotowali wdrożenia m.in. KSwapDoor oraz ZnDoor jako ładunki post-eksploatacyjne po skutecznym RCE. Celem jest utrzymanie trwałości i zdalna kontrola.
• Wielu aktorów, szybka mobilizacja: telemetryka dostawców (AWS, Google, Unit 42) wskazuje na różnorodnych sprawców, w tym grupy z łańcuchami TTP charakterystycznymi dla aktorów państwowych (Chiny) oraz przestępczość zorganizowaną.
• Skala i łatwość nadużycia: atak jest pre-auth i możliwy w domyślnych konfiguracjach komponentów RSC, co znacząco zwiększa powierzchnię ataku w środowiskach internetowych.
• Obserwacje od Blue Teamów: zespoły broniące raportują również próby wdrażania koparek kryptowalut, tuneli proxy oraz dodatkowych implantów. Microsoft publikuje konkretne wskazówki detekcyjne i mapowanie do MITRE ATT&CK.

Rekomendacje operacyjne / co zrobić teraz

1. Patch ASAP: zaktualizuj RSC do 19.0.1 / 19.1.2 / 19.2.1 (oraz odpowiednie wersje frameworków korzystających z RSC). Traktuj jako pożar produkcyjny.
2. Hardening i ekspozycja: ogranicz publiczny dostęp do endpointów RSC/Server Functions; wymuś uwierzytelnienie, rate-limit i walidację treści.
3. WAF/IDS/EDR: wdroż reguły blokujące znane wzorce żądań Flight/„object reference”; użyj publikowanych sygnatur/analiz od wiodących dostawców (Microsoft/AWS/Google).
4. Łańcuch reakcji po incydencie:
   • przeszukaj logi HTTP pod kątem podejrzanych ramek Flight i nietypowych kodów odpowiedzi;
   • sprawdź procesy potomne serwera RSC (np. nieautoryzowane powłoki, curl/wget, binaria w /tmp);
   • IOC/artefakty: nazwy/ścieżki i C2 powiązane z KSwapDoor/ZnDoor lub innymi obserwowanymi implantami;
   • jeśli wystąpiła eksfiltracja poświadczeń/tokenów – przeprowadź rotację sekretów i unieważnienie sesji. (mapowanie: ATT&CK T1190/T1059/T1071).
5. Zgodność z CISA KEV: jeżeli podlegasz dyrektywom BOD – odnotuj, że CVE znajduje się w KEV; egzekwuj terminy naprawy i weryfikacji.

Różnice / porównania z innymi przypadkami

W odróżnieniu od klasycznych RCE w serwerach HTTP bądź frameworkach backendowych, React2Shell uderza w warstwę „front-end-ową” uruchamianą po stronie serwera (RSC). To nietypowy wektor: przełamanie izolacji RSC umożliwia natychmiastową eskalację do kontekstu serwera aplikacji — podobnie krytyczne w skutkach jak błędy w deserializacji w tradycyjnych frameworkach, ale często mniej monitorowane i szerzej eksponowane po wdrożeniach SPA/SSR. (Wnioski syntetyczne na podstawie advisory i analiz TI.)

Podsumowanie / kluczowe wnioski

• Pre-auth RCE w RSC + CVSS 10.0 = natychmiastowa aktualizacja obowiązkowa.
• Aktywne kampanie z realnym wdrażaniem backdoorów linuksowych (KSwapDoor, ZnDoor) – weryfikuj hosty i szukaj artefaktów poeksploatacyjnych.
• Dostawcy chmurowi i TI potwierdzają masową, wielopodmiotową eksploatację – reaguj jak na incydent o wysokiej pewności.

Źródła / bibliografia

• React Team — Critical Security Vulnerability in React Server Components (3 grudnia 2025). (React)
• CVE/NVD — rekord CVE-2025-55182. (CVE)
• Palo Alto Networks Unit 42 — analiza eksploatacji i TTP (Flight, RSC, kampanie). (Unit 42)
• Microsoft Defender Research — Defending against CVE-2025-55182: wskazówki detekcyjne. (Microsoft)
• The Hacker News — bieżący przegląd kampanii (KSwapDoor, ZnDoor). (The Hacker News)
• AWS / Google Threat Intel — obserwacje szybkiej eksploatacji przez grupy państwowe. (Amazon Web Services, Inc.)

Wprowadzenie do problemu / definicja luki

Na początku grudnia 2025 r. ujawniono krytyczną podatność w Apache Tika – popularnym „uniwersalnym parserze” treści i metadanych. Błąd CVE-2025-66516 ma CVSS 10.0 i dotyczy sposobu obsługi XFA (XML Forms Architecture) osadzanego w plikach PDF. W sprzyjających warunkach prowadzi to do XXE (XML External Entity), a w konsekwencji do wycieku danych, SSRF, DoS, a nawet RCE. Atlassian zaktualizował zależności Tika w wielu produktach on-prem (Confluence, Jira, Jira Service Management, Bamboo, Crowd, Fisheye/Crucible, Bitbucket).

W skrócie

• CVE-2025-66516 (CVSS 10.0): XXE w Apache Tika wyzwalane poprzez PDF z osadzonym XFA.
• Wpływ na Atlassiana: podatność w zależności (Tika). Atlassian udostępnił wydania z podniesioną wersją Tika; ryzyko w produktach Atlassiana oceniono niżej niż „krytyczne”, ale aktualizacje są dostępne i zalecane.
• Zakres wersji Tika: poprawka znajduje się w tika-core ≥ 3.2.2; rozszerzono zakres względem wcześniejszego CVE-2025-54988 (dot. modułu PDFParser), aby jasno objąć tika-core oraz linie 1.x/2.x.
• Oficjalne ostrzeżenia i przeglądy: SecurityWeek i krajowe zespoły (np. CCB) podkreślają wagę aktualizacji i powiązanie z CVE-2025-54988.

Kontekst / historia / powiązania

W sierpniu 2025 r. zespół Tika załatał CVE-2025-54988 (XXE w PDFParser/XFA). W grudniu opublikowano CVE-2025-66516, które formalnie rozszerza poprzednie zgłoszenie: wskazuje, że wektor wejścia był w PDFParserze, ale właściwa podatność i poprawka dotyczą również „tika-core”. Użytkownicy, którzy zaktualizowali jedynie moduł PDF, lecz nie podnieśli „tika-core” do ≥ 3.2.2, nadal byli narażeni.

Analiza techniczna / szczegóły luki

• Wektor ataku: napastnik przygotowuje plik PDF zawierający XFA z zewnętrznymi encjami XML. Gdy taki plik trafi do komponentu wykorzystującego Apache Tika (np. indeksowanie, ekstrakcja tekstu, podgląd załączników), parser XML niebezpiecznie rozwiązuje encje.
• Skutki techniczne:
  • XXE / odczyt lokalnych plików (np. /etc/passwd).
  • SSRF – wysyłanie żądań z serwera do zasobów wewnętrznych (np. http://169.254.169.254/).
  • DoS – poprzez „entity expansion” lub inne sztuczki z XML.
  • RCE – w określonych, środowiskowo-zależnych konfiguracjach łańcucha (np. gdy dalsze komponenty błędnie przetwarzają dane z XXE).
• Zakres komponentów Tika: tika-pdf-module / tika-parsers były punktem wejścia, ale podatność osadzona jest w „tika-core” – stąd konieczność podniesienia rdzenia do ≥ 3.2.2; w linii 1.x PDFParser był w „tika-parsers”, co również objęto korektą.

Praktyczne konsekwencje / ryzyko

• Środowiska Atlassiana on-prem (DC/Server) przetwarzają załączniki i pliki użytkowników (Confluence, Jira/JSM). Jeśli instancja ocenia zawartość przez Tika, złośliwy PDF może eskalować do XXE/SSRF. Atlassian udostępnił wersje naprawcze we wszystkich głównych produktach; mimo niższej oceny ryzyka w konkretnych implementacjach Atlassiana, patchowanie jest konieczne.
• Ekosystem poza Atlassianem: Tika jest osadzana w wyszukiwarkach treści, DMS, systemach e-discovery, pipeline’ach danych – ryzyko jest szerokie. Organy państwowe ostrzegają, że nawet po wcześniejszych aktualizacjach (po CVE-2025-54988) systemy mogą nadal być podatne, jeśli nie podniesiono rdzenia.

Rekomendacje operacyjne / co zrobić teraz

1. Zaktualizuj produkty Atlassiana do wydań wskazanych w Security Bulletin z 11 grudnia 2025 (Confluence, Jira, Jira Service Management, Bamboo, Crowd, Fisheye/Crucible, Bitbucket). Atlassian rekomenduje m.in. Confluence 10.2.1 (LTS), Jira 11.3.0 (LTS) oraz odpowiadające im wersje LTS w gałęziach 8.x/9.x (szczegóły w tabeli biuletynu).
2. Weryfikuj „tika-core” – niezależnie od modułu PDF musi być ≥ 3.2.2 (a w starszych liniach odpowiedniki naprawione). Jeśli używasz Tika bezpośrednio, podnieś rdzeń i przewień zależności transitivne.
3. WAF/IDS/IPS: do czasu pełnej aktualizacji rozważ tymczasowe reguły blokujące XFA/XXE w PDF (np. dedykowane sygnatury dla Tika-XXE u dostawców).
4. Hardening przetwarzania plików:
   • Wyłącz/ogranicz XFA w ścieżkach przetwarzania, jeśli to możliwe.
   • Uruchamiaj parsowanie w sandboxie (oddzielny proces/konto, brak dostępu do wrażliwych ścieżek i metadanych instancji chmurowych).
   • Blokuj ruch wychodzący z usług parsujących (egress control), aby zminimalizować SSRF.
   • Skany SCA: wymuś odświeżenie lockfile’i i weryfikację transitive deps.
   • Reguły DLP: monitoruj podejrzane odczyty plików systemowych w logach aplikacji.
5. Detekcja/triage: przeszukaj logi pod kątem nietypowych błędów parsowania PDF, nietypowych zapytań HTTP wychodzących z węzłów aplikacyjnych oraz artefaktów XXE (np. próby odwołań do file://, http://169.254.169.254/).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• CVE-2025-66516 vs. CVE-2025-54988: ten pierwszy inkorporuje i rozszerza drugi, wskazując właściwe miejsce błędu (tika-core) i szerszy zakres paczek. Efekt praktyczny: sama aktualizacja PDFParsera nie wystarcza – trzeba podnieść rdzeń.
• XXE w innych parserach a Tika: tu wektor to PDF/XFA, co bywa mniej oczywiste w klasycznym „upload & index”. Ryzyko SSRF i wycieku IaaS metadata jest wysokie wszędzie tam, gdzie serwery mają dostęp do sieci wewnętrznej.

Podsumowanie / kluczowe wnioski

• Nie wystarczy „załatać PDFParser” – kluczowe jest tika-core ≥ 3.2.2.
• Instalacje Atlassian DC/Server: dostępne są konkretne wersje naprawcze – wdrażaj je priorytetowo.
• Zabezpiecz egress i sandbox dla wszelkiego przetwarzania plików – to ograniczy skutki XXE/SSRF nawet przy błędach typu „day-1”.

Źródła / bibliografia

• SecurityWeek: Atlassian Patches Critical Apache Tika Flaw (15 grudnia 2025). (SecurityWeek)
• Atlassian: Security Bulletin – December 11, 2025 (wersje naprawcze dla Bamboo, Bitbucket, Confluence, Crowd, Fisheye/Crucible, Jira/JSM). (Atlassian Docs)
• NVD: CVE-2025-66516 (rozszerzenie względem CVE-2025-54988, konieczność aktualizacji tika-core ≥ 3.2.2). (NVD)
• Apache Tika – Security (zakres wcześniejszego CVE-2025-54988, kontekst parsera PDF/XFA). (tika.apache.org)
• CCB Belgium: ostrzeżenie o krytycznej luce w Apache Tika i powiązaniu z CVE-2025-54988. (ccb.belgium.be)