VietNetwork.Vn

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã chính thức thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến React Server Components (RSC) vào danh mục Lỗ hổng khai thác đã biết ( KEV ) sau các báo cáo về hoạt động khai thác đang diễn ra trên thực tế.

Lỗ hổng bảo mật, CVE-2025-55182 (điểm CVSS: 10.0), liên quan đến một trường hợp thực thi mã từ xa có thể được kích hoạt bởi kẻ tấn công chưa được xác thực mà không cần bất kỳ thiết lập đặc biệt nào. Lỗ hổng này cũng được theo dõi dưới dạng React2Shell.


CISA cho biết trong một thông báo: "Meta React Server Components chứa lỗ hổng thực thi mã từ xa có thể cho phép thực thi mã từ xa không xác thực bằng cách khai thác lỗ hổng trong cách React giải mã dữ liệu được gửi đến các điểm cuối React Server Function".

Vấn đề bắt nguồn từ việc giải tuần tự hóa không an toàn trong giao thức Flight của thư viện, mà React sử dụng để giao tiếp giữa máy chủ và máy khách. Kết quả là, nó dẫn đến tình huống kẻ tấn công từ xa chưa được xác thực có thể thực thi các lệnh tùy ý trên máy chủ bằng cách gửi các yêu cầu HTTP được thiết kế đặc biệt.

"Quá trình chuyển đổi văn bản thành đối tượng được coi là một trong những loại lỗ hổng phần mềm nguy hiểm nhất", Martin Zugec, giám đốc giải pháp kỹ thuật tại Bitdefender, cho biết. "Lỗ hổng React2Shell nằm trong gói react-server, cụ thể là cách nó phân tích cú pháp tham chiếu đối tượng trong quá trình giải tuần tự hóa."

Lỗ hổng bảo mật đã được giải quyết trong các phiên bản 19.0.1, 19.1.2 và 19.2.1 của các thư viện sau:

    react-server-dom-webpack
    react-server-dom-parcel
    react-server-dom-turbopack

Một số framework hạ nguồn phụ thuộc vào React cũng bị ảnh hưởng, bao gồm: Next.js, React Router, Waku, Parcel, Vite và RedwoodSDK.


Diễn biến này diễn ra sau khi Amazon báo cáo rằng họ đã phát hiện các nỗ lực tấn công xuất phát từ cơ sở hạ tầng liên quan đến các nhóm tin tặc Trung Quốc như Earth Lamia và Jackpot Panda chỉ vài giờ sau khi lỗ hổng được công bố. Coalition, Fastly, GreyNoise, VulnCheck và Wiz cũng đã báo cáo về các nỗ lực khai thác nhắm vào lỗ hổng, cho thấy nhiều tác nhân đe dọa đang tham gia vào các cuộc tấn công chớp nhoáng.


Một số cuộc tấn công liên quan đến việc triển khai các trình khai thác tiền điện tử, cũng như thực hiện các lệnh PowerShell "toán học rẻ tiền" để đảm bảo khai thác thành công, sau đó chạy các lệnh để thả trình tải xuống trong bộ nhớ có khả năng truy xuất thêm dữ liệu từ máy chủ từ xa.

Theo dữ liệu được chia sẻ bởi nền tảng quản lý bề mặt tấn công Censys, có khoảng 2,15 triệu trường hợp dịch vụ trực tuyến có thể bị ảnh hưởng bởi lỗ hổng này. Con số này bao gồm các dịch vụ web bị lộ khi sử dụng React Server Components và các trường hợp bị lộ của các framework như Next.js, Waku, React Router và RedwoodSDK.

Trong một tuyên bố được chia sẻ với The Hacker News, Đơn vị 42 của Palo Alto Networks cho biết họ đã xác nhận hơn 30 tổ chức bị ảnh hưởng trên nhiều lĩnh vực, với một hoạt động phù hợp với nhóm tin tặc Trung Quốc được theo dõi là UNC5174 (hay còn gọi là CL-STA-1015). Các cuộc tấn công này được đặc trưng bởi việc triển khai SNOWLIGHT và VShell.

Justin Moore, giám đốc cấp cao phụ trách nghiên cứu tình báo mối đe dọa tại Palo Alto Networks Unit 42, cho biết: "Chúng tôi đã quan sát thấy hoạt động quét RCE dễ bị tấn công, hoạt động trinh sát, nỗ lực đánh cắp cấu hình AWS và tệp thông tin xác thực, cũng như cài đặt trình tải xuống để truy xuất dữ liệu từ cơ sở hạ tầng chỉ huy và kiểm soát của kẻ tấn công".

Nhà nghiên cứu bảo mật Lachlan Davidson, người được ghi nhận là người phát hiện và báo cáo lỗ hổng, đã công bố nhiều bằng chứng khái niệm (PoC), khiến người dùng bắt buộc phải cập nhật phiên bản mới nhất càng sớm càng tốt. Một PoC khác đang hoạt động đã được công bố bởi một nhà nghiên cứu Đài Loan có tên trên GitHub là maple3142.

Theo Chỉ thị hoạt động ràng buộc (BOD) 22-01, các cơ quan thuộc Chi nhánh hành pháp dân sự liên bang (FCEB) có thời hạn đến ngày 26 tháng 12 năm 2025 để áp dụng các bản cập nhật cần thiết nhằm bảo mật mạng lưới của họ.