Талха Тарик и его коллеги из Vercel, компании, поддерживающей Next.js, пережили множество ночей и выходных, когда React2Shell была обнаружена и раскрыта вскоре после Дня благодарения. Дефект, затрагивающий обширные участки инфраструктуры интернета, представлял значительный риск для Next.js — библиотеки с открытым исходным кодом, зависящей от уязвимых компонентов React Server.

Он быстро понял, что у него есть серьёзная проблема, с которой предстоит столкнуться с CVE-2025-55182 — уязвимостью максимальной степени, затрагивающей несколько фреймворков и пакетов React, позволяющей неаутентифицированным злоумышленникам выполнять удалённый код в стандартных настройках.

«Это буквально самый первый слой, с которым взаимодействуют все в интернете, так что с точки зрения риска и риска всё это настолько плохо, насколько возможно», — сказал Тарик, технический директор компании, CyberScoop.

Тарик и его команда инициировали и координировали масштабную работу по реагированию с крупными облачными провайдерами, сообществом open source и поставщиками технологий спустя несколько часов после того, как разработчик сообщил о дефекте в Meta, которая изначально создала и поддерживала React, а затем перенесла библиотеку открытого исходного кода в React Foundation в октябре.

Команда React публично сообщила об этом патче через четыре дня, после того как Vercel и многие другие пострадавшие провайдеры внедрили меры по снижению ущерба на уровне платформы.

Глубокая интеграция Vercel с React и его понимание означало, что у него была чрезмерно большая ответственность по изучению и распространению своих результатов по всей отрасли. Это поможет проверить эффективность патча и убедиться, что клиенты на следующих этапах понимают потенциальный риск после раскрытия уязвимости, отметил Тарик.

«Никто не проспал выходные, никто не проспал всю ночь», — добавил он, добавив, что для Vercel это была круглосуточная реакция минимум на две недели — выходя за рамки раскрытия уязвимости в игру в кошки-мышки, где злоумышленники пытаются воспользоваться дефектом или обойти патч.

Киберпреступники, банды вымогателей и национальные государственные группы принимали быстрые меры для эксплуатации уязвимости.

Подразделение 42 Palo Alto Networks подтвердило, что к середине декабря более 60 организаций были непосредственно затронуты атаками, связанными с эксплуатацией дефекта. По данным VulnCheck, количество действительных публичных эксплойтов также достигло рекордного максимума, приблизившись к 200 к тому времени.

Вредоносная активность, направленная против React2Shell, сохраняется «устойчивым, повышенным темпом», сообщила компания по кибербезопасности GreyNoise в обновлении в среду. Датчики компании зафиксировали более 8,1 миллиона попыток атак с момента раскрытия дефекта, при этом ежедневные объёмы сейчас варьируются от 300 000 до 400 000 после пика в последние недели декабря.

Vercel также ответил на React2Shell быстро организованной программой вознаграждения HackerOne, предлагающей $50,000 за каждую проверенную технику, обходящую межсетевой экран веб-приложений. В ней приняли участие более 116 исследователей, и в итоге Версель выплатил 1 миллион долларов за 20 уникальных методов шунтирования.

Компания заявила, что эта работа позволила ей заблокировать более 6 миллионов попыток эксплойтов, направленных на среды, работающие с уязвимыми версиями Next.js. Тарик назвал это «лучшим потраченным миллионом долларов», учитывая потенциальное воздействие и воздействие.

Тарик не оглядывается на первоначальную реакцию на React2Shell с сожалением. Вместо этого он видит в этом мотивацию решить постоянную проблему, основанную на координации.

Бремя оперативного решения вопросов безопасности в широком сообществе часто ложится на таких людей, как Тарик, которые полагались на личные связи для координации отраслевых действий. Это включало прямой контакт и общение с руководителями по безопасности из Google, Microsoft, Amazon и других, отметил он.

«Мы должны работать лучше как отрасль и найти более устойчивый способ сделать это», — сказал Тарик.