Sáng nay, mạng lưới toàn cầu của Cloudflare đã trải qua một sự cố gián đoạn dịch vụ diện rộng nhưng ngắn ngủi, kéo dài khoảng 25 phút. Nguyên nhân được xác định là do một thay đổi nội bộ trong hệ thống Tường lửa Ứng dụng Web (WAF) của họ, nhằm mục đích đối phó với một lỗ hổng CVE nghiêm trọng trong React Server Components.

Sự cố bắt đầu vào khoảng 8:47 GMT, ảnh hưởng đến Cloudflare Dashboard, các API và các dịch vụ được ủy quyền. Hàng loạt trang web trên toàn cầu, bao gồm các nền tảng lớn như Coinbase, Claude AI của Anthropic, Zerodha và Groww, đã gặp phải lỗi 500 Internal Server Errors.

Phân tích Sự cố Gián đoạn Dịch vụ Cloudflare

Trang trạng thái của Cloudflare đã xác nhận nguyên nhân sự cố bắt nguồn từ việc điều chỉnh cách WAF phân tích các yêu cầu đến. Thay đổi này được triển khai khẩn cấp để giảm thiểu CVE-2025-55182, một lỗ hổng thực thi mã từ xa (RCE) có mức độ nghiêm trọng tối đa (CVSS 10.0) được gọi là “React2Shell”.

CVE-2025-55182 được công bố vào ngày 3 tháng 12, khai thác deserialization không an toàn trong giao thức “Flight” của React Server Components. Điều này cho phép những kẻ tấn công không được xác thực thực thi mã tùy ý thông qua các yêu cầu HTTP độc hại tới các điểm cuối chức năng máy chủ.

Cơ chế Khai thác và Phiên bản Bị Ảnh hưởng

Lỗ hổng này đặc biệt nguy hiểm do khả năng dẫn đến remote code execution mà không cần xác thực. Kẻ tấn công có thể gửi các gói dữ liệu được chế tạo đặc biệt để kích hoạt việc thực thi mã độc trên máy chủ mục tiêu.

Các phiên bản React bị ảnh hưởng bao gồm từ 19.0 đến 19.2.0. Ngoài ra, các framework như Next.js (15.x-16.x), React Router và một số nền tảng khác như Waku, RedwoodSDK cũng nằm trong phạm vi ảnh hưởng của lỗ hổng CVE này.

Việc triển khai bản vá ban đầu đã gặp trục trặc tạm thời, khiến mạng Cloudflare không khả dụng. Các kỹ sư của Cloudflare đã phải nhanh chóng khôi phục lại cấu hình trước đó và phục hồi dịch vụ vào lúc 9:20 UTC. Để biết thêm chi tiết về sự cố, có thể tham khảo báo cáo chính thức từ Cloudflare:

• Cloudflare Incident Report

Cloudflare đã khẳng định trong các cập nhật của mình rằng: “Đây không phải là một cuộc tấn công; thay đổi được triển khai bởi nhóm của chúng tôi nhằm giúp giảm thiểu lỗ hổng CVE trên toàn ngành.”

Các Hoạt động Phòng ngừa và Sự cố Kỹ thuật

Trước khi sự cố gián đoạn xảy ra, Cloudflare đã chủ động triển khai các quy tắc WAF vào ngày 2 tháng 12 để ngăn chặn các cuộc khai thác. Điều này tự động bảo vệ lưu lượng truy cập được ủy quyền cho tất cả khách hàng, kể cả các gói miễn phí. Tuy nhiên, không có nỗ lực khai thác nào được phát hiện thông qua các quy tắc này trước khi gián đoạn.

Dù có các biện pháp phòng ngừa, lỗ hổng “React2Shell” đã nhanh chóng thu hút sự chú ý trong thế giới thực. AWS đã báo cáo về các hoạt động khai thác của các nhóm như Earth Lamia và Jackpot Panda chỉ vài giờ sau khi lỗ hổng được công bố.

Các Chỉ số Thỏa hiệp (IOCs) Đã Quan Sát

Các nhóm đe dọa đã được quan sát liên quan đến việc khai thác lỗ hổng CVE-2025-55182 bao gồm:

• Earth Lamia
• Jackpot Panda

Các khai thác Proof-of-Concept (PoC) hiện đang lưu hành rộng rãi, tạo ra nhu cầu cấp thiết về bản vá bảo mật. Điều này thúc đẩy các khuyến nghị cập nhật khẩn cấp lên React 19.2.1 và các phiên bản Next.js mới nhất.

Các tổ chức nghiên cứu bảo mật như Rapid7 cũng cảnh báo rằng ngay cả các ứng dụng không có chức năng máy chủ tường minh vẫn có nguy cơ bị tấn công nếu chúng hỗ trợ React Server Components. Điều này nhấn mạnh tầm quan trọng của việc triển khai bản vá bảo mật kịp thời.

Khuyến nghị và Các Sự cố Cloudflare Trước Đây

Sự cố này đánh dấu lần gián đoạn lớn thứ hai của Cloudflare trong vài tuần, sau sự cố ngày 18 tháng 11 do lỗi quản lý Bot và một sự cố vào tháng 6 ảnh hưởng đến dịch vụ Zero Trust. CEO Matthew Prince trước đây đã gọi sự kiện trước đó là “tồi tệ nhất kể từ năm 2019.”

Cloudflare đảm bảo đã khôi phục hoàn toàn và đang tiếp tục giám sát hệ thống. Công ty cũng kêu gọi người dùng React cập nhật ngay lập tức các ứng dụng của mình để đảm bảo an toàn, đặc biệt là trước nguy cơ remote code execution.

Việc cập nhật bản vá bảo mật không chỉ giúp khắc phục lỗ hổng CVE-2025-55182 mà còn bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn khác. Đảm bảo rằng tất cả các thành phần phụ thuộc cũng được cập nhật lên phiên bản mới nhất là điều cần thiết để duy trì an ninh mạng.