Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Sáu đã chính thức bổ sung một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến React Server Components (RSC) vào danh mục Known Exploited Vulnerabilities (KEV) của mình sau các báo cáo về việc lỗ hổng này đang bị khai thác tích cực trong thực tế.
Lỗ hổng, CVE-2025-55182 (điểm CVSS: 10.0), liên quan đến một trường hợp thực thi mã từ xa (remote code execution) có thể bị kích hoạt bởi một kẻ tấn công chưa được xác thực mà không yêu cầu bất kỳ thiết lập đặc biệt nào. Nó cũng được theo dõi dưới tên React2Shell.
"Meta React Server Components chứa một lỗ hổng thực thi mã từ xa (remote code execution) có thể cho phép thực thi mã từ xa chưa được xác thực bằng cách khai thác một lỗi trong cách React giải mã các tải trọng (payloads) được gửi đến các điểm cuối (endpoints) của React Server Function," CISA cho biết trong một cảnh báo.
Vấn đề này xuất phát từ việc insecure deserialization trong giao thức Flight của thư viện, mà React sử dụng để giao tiếp giữa máy chủ và máy khách. Kết quả là, nó dẫn đến một kịch bản trong đó một kẻ tấn công từ xa, chưa được xác thực có thể thực thi các lệnh tùy ý trên máy chủ bằng cách gửi các yêu cầu HTTP được chế tạo đặc biệt.
"Quá trình chuyển đổi văn bản thành đối tượng được coi là một trong những loại lỗ hổng phần mềm nguy hiểm nhất," Martin Zugec, giám đốc giải pháp kỹ thuật tại Bitdefender, cho biết. "Lỗ hổng React2Shell nằm trong gói `react-server`, cụ thể là trong cách nó phân tích cú pháp tham chiếu đối tượng trong quá trình deserialization."
Lỗ hổng đã được khắc phục trong các phiên bản 19.0.1, 19.1.2 và 19.2.1 của các thư viện sau -
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Một số framework phụ thuộc vào React cũng bị ảnh hưởng. Điều này bao gồm: Next.js, React Router, Waku, Parcel, Vite và RedwoodSDK.
Diễn biến này diễn ra sau khi Amazon báo cáo rằng họ đã quan sát thấy các nỗ lực tấn công bắt nguồn từ cơ sở hạ tầng liên quan đến các nhóm hacker Trung Quốc như Earth Lamia và Jackpot Panda chỉ vài giờ sau khi lỗ hổng được công bố công khai. Coalition, Fastly, GreyNoise, VulnCheck, và Wiz cũng đã báo cáo thấy các nỗ lực khai thác lỗ hổng, cho thấy nhiều threat actor đang thực hiện các cuộc tấn công cơ hội.
Một số cuộc tấn công đã liên quan đến việc triển khai các công cụ đào tiền điện tử (cryptocurrency miners), cũng như thực thi các lệnh PowerShell "cheap math" để xác định việc khai thác thành công, sau đó chạy các lệnh để thả các downloader trong bộ nhớ (in-memory downloaders) có khả năng truy xuất một payload bổ sung từ máy chủ từ xa.
Theo dữ liệu được chia sẻ bởi nền tảng quản lý bề mặt tấn công Censys, có khoảng 2.15 triệu trường hợp dịch vụ hướng ra internet có thể bị ảnh hưởng bởi lỗ hổng này. Điều này bao gồm các dịch vụ web tiếp xúc sử dụng React Server Components và các trường hợp tiếp xúc của các framework như Next.js, Waku, React Router và RedwoodSDK.
Trong một tuyên bố được chia sẻ với The Hacker News, Palo Alto Networks Unit 42 cho biết họ đã xác nhận hơn 30 tổ chức bị ảnh hưởng trên nhiều lĩnh vực, với một bộ hoạt động nhất quán với một nhóm hacker Trung Quốc được theo dõi là UNC5174 (còn gọi là CL-STA-1015). Các cuộc tấn công được đặc trưng bởi việc triển khai SNOWLIGHT và VShell.
"Chúng tôi đã quan sát thấy việc quét các RCE dễ bị tổn thương, hoạt động trinh sát, cố gắng đánh cắp các tệp cấu hình và thông tin xác thực AWS, cũng như cài đặt các downloader để truy xuất payload từ cơ sở hạ tầng command and control của kẻ tấn công," Justin Moore, quản lý cấp cao về nghiên cứu tình báo mối đe dọa tại Palo Alto Networks Unit 42, cho biết.
Nhà nghiên cứu bảo mật Lachlan Davidson, người được ghi nhận đã phát hiện và báo cáo lỗ hổng, kể từ đó đã phát hành nhiều exploit proof-of-concept (PoC), khiến việc người dùng cập nhật phiên bản mới nhất càng sớm càng tốt trở nên bắt buộc. Một PoC hoạt động khác cũng đã được xuất bản bởi một nhà nghiên cứu Đài Loan có tên GitHub là maple3142.
Theo Binding Operational Directive (BOD) 22-01, các cơ quan Federal Civilian Executive Branch (FCEB) có thời hạn đến ngày 26 tháng 12 năm 2025 để áp dụng các bản cập nhật cần thiết nhằm bảo mật mạng lưới của họ.
