Lỗ hổng React2Shell leo thang thành các cuộc tấn công quy mô lớn trên toàn cầu

[T-X]

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã kêu gọi các cơ quan liên bang vá lỗ hổng React2Shell mới đây trước ngày 12 tháng 12 năm 2025, trong bối cảnh có báo cáo về việc khai thác lỗ hổng này trên diện rộng.

Lỗ hổng bảo mật nghiêm trọng, được theo dõi với mã CVE-2025-55182 (điểm CVSS: 10.0), ảnh hưởng đến giao thức Flight của React Server Components (RSC). Nguyên nhân cơ bản của vấn đề là do quá trình giải mã dữ liệu không an toàn, cho phép kẻ tấn công chèn logic độc hại mà máy chủ thực thi trong ngữ cảnh có đặc quyền. Nó cũng ảnh hưởng đến các framework khác, bao gồm Next.js, Waku, Vite, React Router và RedwoodSDK.

"Chỉ cần một yêu cầu HTTP được thiết kế đặc biệt là đủ; không cần xác thực, tương tác người dùng hoặc quyền hạn cao nào cả," Cloudforce One, nhóm tình báo về mối đe dọa của Cloudflare, cho biết. "Sau khi thành công, kẻ tấn công có thể thực thi mã JavaScript tùy ý, có đặc quyền trên máy chủ bị ảnh hưởng."

Kể từ khi được công khai vào ngày 3 tháng 12 năm 2025, lỗ hổng này đã bị nhiều tác nhân đe dọa lợi dụng trong các chiến dịch khác nhau để thực hiện các hoạt động trinh sát và phát tán nhiều loại phần mềm độc hại.

Diễn biến này đã khiến CISA bổ sung nó vào danh mục các lỗ hổng bảo mật đã biết và bị khai thác vào thứ Sáu tuần trước, cho các cơ quan liên bang thời hạn đến ngày 26 tháng 12 để áp dụng các bản vá lỗi. Thời hạn này sau đó đã được điều chỉnh lại thành ngày 12 tháng 12 năm 2025, cho thấy mức độ nghiêm trọng của sự cố.

Công ty bảo mật đám mây Wiz cho biết họ đã quan sát thấy một "làn sóng khai thác cơ hội nhanh chóng" lỗ hổng này, với phần lớn các cuộc tấn công nhắm vào các ứng dụng Next.js hướng ra internet và các khối lượng công việc được đóng gói khác chạy trong Kubernetes và các dịch vụ đám mây được quản lý.

Cloudflare, đơn vị cũng đang theo dõi các hoạt động khai thác đang diễn ra, cho biết các tác nhân đe dọa đã tiến hành tìm kiếm bằng cách sử dụng các nền tảng quét toàn mạng và phát hiện tài sản để tìm các hệ thống bị phơi nhiễm đang chạy các ứng dụng React và Next.js. Đáng chú ý, một số nỗ lực trinh sát đã loại trừ không gian địa chỉ IP của Trung Quốc khỏi các tìm kiếm của họ.

"Hoạt động dò quét mật độ cao nhất của họ diễn ra đối với các mạng lưới ở Đài Loan, Tân Cương, Việt Nam, Nhật Bản và New Zealand - những khu vực thường được liên kết với các ưu tiên thu thập thông tin tình báo địa chính trị", công ty cơ sở hạ tầng web cho biết.

Hoạt động được quan sát cũng được cho là đã nhắm mục tiêu, mặc dù có tính chọn lọc hơn, vào các trang web của chính phủ (.gov), các viện nghiên cứu học thuật và các nhà điều hành cơ sở hạ tầng trọng yếu. Điều này bao gồm một cơ quan quốc gia chịu trách nhiệm về việc nhập khẩu và xuất khẩu uranium, kim loại quý hiếm và nhiên liệu hạt nhân.

Một số phát hiện đáng chú ý khác được liệt kê bên dưới:

    Ưu tiên nhắm mục tiêu vào các công nghệ có độ nhạy cao như trình quản lý mật khẩu doanh nghiệp và dịch vụ kho lưu trữ an toàn, có thể với mục đích thực hiện các cuộc tấn công chuỗi cung ứng.
    Nhắm mục tiêu vào các thiết bị SSL VPN hướng ra biên mạng có giao diện quản trị có thể tích hợp các thành phần dựa trên React.
    Các nỗ lực quét và khai thác ban đầu xuất phát từ các địa chỉ IP trước đây được liên kết với các cụm mối đe dọa có liên hệ với châu Á.

Trong phân tích dữ liệu honeypot của riêng mình, Kaspersky cho biết họ đã ghi nhận hơn 35.000 nỗ lực khai thác chỉ trong một ngày vào ngày 10 tháng 12 năm 2025, với việc tin tặc trước tiên dò xét hệ thống bằng cách chạy các lệnh như whoami, trước khi cài đặt phần mềm khai thác tiền điện tử hoặc các họ phần mềm độc hại botnet như các biến thể Mirai/Gafgyt và RondoDox.

Một số phần mềm độc hại khác được phát hiện bao gồm các thiết bị phát tín hiệu Cobalt Strike, Sliver, Fast Reverse Proxy (FRP), một công cụ giám sát có tên Nezha, một phần mềm độc hại Node.js thu thập các tập tin nhạy cảm và sử dụng TruffleHog và Gitleaks làm vũ khí để thu thập bí mật, và một phần mềm cửa hậu dựa trên Go với khả năng tạo shell ngược, trinh sát và điều khiển từ xa (C2).

Song song đó, theo VulnCheck, React2Shell được ước tính đã tạo ra hơn 140 mã khai thác thử nghiệm trong thực tế với chất lượng khác nhau, trong đó khoảng một nửa bị lỗi, gây hiểu nhầm hoặc không thể sử dụng được. Các kho lưu trữ mã khai thác còn lại chứa logic để tải các web shell trong bộ nhớ như Godzilla, quét tìm lỗ hổng và thậm chí triển khai tường lửa ứng dụng web (WAF) nhẹ để chặn các payload độc hại.

Nhà nghiên cứu bảo mật Rakesh Krishnan cũng đã phát hiện ra một thư mục mở được lưu trữ trên "154.61.77[.]105:8082" bao gồm một kịch bản khai thác chứng minh khái niệm (PoC) cho CVE-2025–55182 cùng với hai tệp khác:

    Tệp "domains.txt" chứa danh sách 35.423 tên miền.
    Tệp "next_target.txt" chứa danh sách 596 URL, bao gồm các công ty như Dia Browser, Starbucks, Porsche và Lululemon.

Đã có đánh giá cho thấy tác nhân đe dọa chưa xác định đang tích cực quét internet dựa trên các mục tiêu được thêm vào tệp thứ hai, lây nhiễm hàng trăm trang web trong quá trình này.

Công ty an ninh mạng và bảo hiểm mạng Coalition đã so sánh React2Shell với lỗ hổng Log4Shell năm 2021 ( CVE-2021-44228 ), mô tả nó là một "sự kiện tổng hợp rủi ro mạng mang tính hệ thống".

Theo dữ liệu mới nhất từ Tổ chức Shadowserver, tính đến ngày 11 tháng 12 năm 2025, có hơn 137.200 địa chỉ IP tiếp xúc với internet đang chạy mã độc hại. Trong số này, hơn 88.900 trường hợp nằm ở Mỹ, tiếp theo là Đức (10.900), Pháp (5.500) và Ấn Độ (3.600).