Một lỗ hổng CVE mới nghiêm trọng, được theo dõi là CVE-2025-55182 và định danh là React2Shell, đã được công khai. Các nhóm tấn công mạng đang đẩy mạnh khai thác lỗ hổng này chỉ vài giờ sau khi thông tin được tiết lộ rộng rãi. Lỗ hổng cho phép thực thi mã từ xa trên máy chủ mà không cần xác thực.

Các hoạt động quét ban đầu đã ghi nhận việc thăm dò rộng rãi các ứng dụng React và Next.js có kết nối Internet. Mục tiêu chính là các tải trọng công việc đám mây có giá trị cao.

Chi Tiết Kỹ Thuật Lỗ Hổng CVE-2025-55182 (React2Shell)

CVE-2025-55182 tồn tại trong các thành phần React Server Components. Lỗ hổng này cho phép một đối tượng tấn công thực thi mã tùy ý trên máy chủ mà không cần đăng nhập.

Cụ thể, lỗ hổng ảnh hưởng đến React 19.x và Next.js 15.x cũng như 16.x khi tính năng App Router được sử dụng. Ngay cả các ứng dụng không gọi các hành động của máy chủ (server actions) vẫn có nguy cơ bị tấn công nếu chúng hỗ trợ React Server Components.

Điều này tạo ra một bề mặt tấn công rộng lớn cho các đội ngũ đã triển khai stack React mới nhất nhưng chưa kịp áp dụng các bản vá bảo mật. Đây là một cảnh báo CVE khẩn cấp cho các tổ chức sử dụng công nghệ này.

Hoạt Động Khai Thác và Tác Động Ban Đầu

Các nhà phân tích và nghiên cứu bảo mật của AWS đã phát hiện lưu lượng truy cập khai thác React2Shell trực tiếp trên mạng honeypot MadPot của họ.

Phát hiện này xảy ra chỉ trong vài giờ sau khi thông tin cảnh báo được công bố chính thức. Thông tin chi tiết có thể được tìm thấy tại AWS Security Blog.

Lưu lượng truy cập liên quan đến các nhóm tấn công mạng cho thấy việc thử nghiệm tích cực các mã PoC (Proof-of-Concept) công khai đối với các ứng dụng thực tế.

Một số cụm tấn công đã dành gần một giờ để tinh chỉnh payload. Họ thử nghiệm các lệnh như whoami, id, ghi file vào /tmp/’pwned’.txt và đọc file /etc/’passwd’. Điều này xác nhận khả năng Remote Code Execution.

Phân Tích Kỹ Thuật Chuỗi Khai Thác React2Shell

Cơ Chế Khai Thác

Một cuộc tấn công React2Shell điển hình bắt đầu bằng một yêu cầu POST được chế tạo đặc biệt.

Yêu cầu này được gửi đến một endpoint của React Server Components. Phần thân của yêu cầu chứa một payload “action” giả mạo.

Payload này lạm dụng bước deserialize không an toàn để chèn mã JavaScript độc hại lên máy chủ. Đây là cốt lõi của lỗ hổng CVE này.

Một khi payload được thực thi, máy chủ có thể khởi tạo các lệnh shell. Nó cũng có thể tạo hoặc sửa đổi các tệp trong thư mục /tmp. Ngoài ra, nó có khả năng mở các kết nối đi mới từ tiến trình Node.

Nhiều exploit công khai có thể không hoạt động hoàn hảo. Tuy nhiên, các đối tượng tấn công vẫn triển khai chúng ở quy mô lớn, tạo ra nhiễu trong log và che giấu các chuỗi khai thác thành công.

Chỉ Dẫn Phát Hiện và Ứng Phó (IOCs)

Các đội ngũ an ninh cần chủ động săn tìm các dấu hiệu khai thác lỗ hổng CVE này trong hệ thống của mình. Việc này giúp phát hiện sớm các cuộc xâm nhập tiềm tàng.

Mẫu Phát Hiện Quan Trọng

• Header đặc biệt: Tìm kiếm các header hoặc mẫu trong lưu lượng HTTP POST đến các endpoint của React Server Components.
• Tiến trình con bất thường: Theo dõi các tiến trình con (child processes) không mong muốn được khởi tạo từ tiến trình Node.js. Các tiến trình này có thể là dấu hiệu của Remote Code Execution.
• Lệnh shell đáng ngờ: Sàng lọc log hệ thống để phát hiện các lệnh shell như whoami, id, các thao tác ghi tệp vào /tmp/’pwned’.txt hoặc đọc tệp /etc/’passwd’.

Các dấu hiệu này cần được các nhà ứng phó sự cố xem xét nhanh chóng. Việc này giúp xác định và ngăn chặn các cuộc tấn công đang diễn ra hoặc đã xảy ra.

Biện Pháp Giảm Thiểu và Khuyến Nghị Bảo Mật

Phản ứng nhanh là yếu tố then chốt để bảo vệ hệ thống khỏi lỗ hổng CVE-2025-55182. Ưu tiên hàng đầu là áp dụng các bản vá bảo mật mới nhất.

AWS đã triển khai các biện pháp phòng thủ mới thông qua Sonaris và cập nhật các quy tắc quản lý AWS WAF.

Tuy nhiên, các lớp phòng thủ này không thể thay thế việc vá lỗi nhanh chóng trên các hệ thống do khách hàng tự quản lý. Điều này bao gồm các instance EC2, container và các máy chủ on-premise.

Các nhà phát triển và quản trị hệ thống cần theo dõi sát sao các thông báo bảo mật từ React và Next.js. Việc cập nhật kịp thời là biện pháp phòng ngừa hiệu quả nhất đối với Remote Code Execution tiềm tàng.