Microsoft đã phát hành các biện pháp giảm thiểu toàn diện cho một lỗ hổng CVE nghiêm trọng được đặt tên là React2Shell (CVE-2025-55182). Lỗ hổng này tiềm ẩn rủi ro nghiêm trọng đối với các môi trường React Server Components và Next.js.
Với điểm CVSS tối đa là 10.0, lỗ hổng thực thi mã từ xa (remote code execution) trước xác thực này cho phép các tác nhân đe dọa xâm nhập máy chủ chỉ thông qua một yêu cầu HTTP độc hại duy nhất. Các nỗ lực khai thác được phát hiện lần đầu vào ngày 5 tháng 12 năm 2025, nhắm mục tiêu vào cả hệ thống Windows và Linux với tỷ lệ thành công đáng báo động.
Phân Tích Kỹ Thuật về Lỗ Hổng CVE React2Shell
Nguồn Gốc và Cơ Chế Khai Thác
Lỗ hổng CVE-2025-55182 bắt nguồn từ cách hệ sinh thái React Server Components xử lý dữ liệu bằng giao thức Flight. Khi một máy khách yêu cầu dữ liệu, máy chủ sẽ phân tích cú pháp tải trọng đến để thực thi logic phía máy chủ.
Tuy nhiên, việc không xác thực đúng các đầu vào này cho phép kẻ tấn công chèn các cấu trúc độc hại mà máy chủ vẫn chấp nhận là hợp lệ. Sự thiếu sót này dẫn đến tình trạng prototype pollution, cuối cùng cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ cơ bản.
Các nhà phân tích của Microsoft đã xác định các chiến dịch mã độc khai thác lỗ hổng này ngay sau khi nó xuất hiện. Các cuộc tấn công mạng thường bắt đầu bằng một yêu cầu POST được tạo ra đặc biệt, gửi đến một ứng dụng web dễ bị tổn thương. Một khi backend giải tuần tự hóa đầu vào này, mã độc sẽ được thực thi trong môi trường Node.js runtime, bỏ qua các kiểm tra bảo mật tiêu chuẩn. Cấu hình tin cậy mặc định này khiến lỗ hổng trở nên đặc biệt nguy hiểm, vì không yêu cầu thiết lập đặc biệt hoặc tương tác người dùng để khai thác, khiến nhiều môi trường doanh nghiệp bị phơi nhiễm.
Tham khảo thêm về các biện pháp giảm thiểu từ Microsoft tại: Microsoft Security Blog.
Chiến Thuật Hậu Khai Thác và Tác Động Hệ Thống
Thiết Lập Duy Trì Quyền Truy Cập và Mở Rộng Kiểm Soát
Sau khi giành được quyền truy cập ban đầu, các tác nhân đe dọa nhanh chóng thiết lập quyền duy trì và mở rộng kiểm soát trên mạng bị xâm nhập. Chuỗi tấn công thường liên quan đến việc triển khai các reverse shells kết nối trở lại máy chủ Cobalt Strike do kẻ tấn công kiểm soát, cho phép truy cập từ xa liên tục.
Kẻ tấn công thường sử dụng các công cụ giám sát và quản lý từ xa như MeshAgent hoặc sửa đổi các tệp hệ thống, ví dụ như authorized_keys, để duy trì quyền truy cập ngay cả sau khi khởi động lại. Để tránh bị phát hiện, chúng có thể sử dụng bind mounts để che giấu các tiến trình độc hại khỏi các công cụ giám sát hệ thống.
Phân Phối Payload Đa Dạng
Phân tích sâu hơn cho thấy một loạt các payload đa dạng được phân phối, bao gồm các phần mềm độc hại truy cập từ xa (RATs) như VShell và EtherRAT, cũng như các công cụ đào tiền điện tử XMRig cryptominers.
Một ví dụ về reverse shell được quan sát trong một chiến dịch đã nêu bật các cấu trúc lệnh được sử dụng trong các cuộc xâm nhập này.
Đánh Cắp Thông Tin Xác Thực Đám Mây
Ngoài việc kiểm soát tức thì, kẻ tấn công còn tích cực liệt kê chi tiết hệ thống và các biến môi trường để đánh cắp các cloud identity tokens cho Azure, AWS và Google Cloud Platform. Việc đánh cắp thông tin xác thực này tạo điều kiện cho việc di chuyển ngang qua các tài nguyên đám mây, làm gia tăng đáng kể tác động của việc vi phạm đối với các tổ chức phụ thuộc vào các dịch vụ tích hợp này. Đây là một rủi ro bảo mật nghiêm trọng mà các doanh nghiệp cần đặc biệt lưu tâm.
Các Công Cụ và Mã Độc Liên Quan
Trong các cuộc tấn công mạng khai thác lỗ hổng CVE-2025-55182, các tác nhân đe dọa đã sử dụng nhiều công cụ và mã độc khác nhau để thực hiện các mục tiêu của mình:
- Cobalt Strike: Một framework tấn công giả lập (adversary simulation) được sử dụng để thiết lập các beacon, duy trì quyền truy cập và thực hiện các hoạt động hậu khai thác.
- MeshAgent: Công cụ quản lý và giám sát từ xa, thường bị lạm dụng để duy trì sự hiện diện trên hệ thống bị xâm nhập.
- VShell: Một trojan truy cập từ xa (RAT), cho phép kẻ tấn công điều khiển hệ thống từ xa.
- EtherRAT: Một trojan truy cập từ xa khác, được thiết kế để điều khiển và giám sát hệ thống từ xa.
- XMRig: Phần mềm đào tiền điện tử (cryptominer), được triển khai để khai thác tài nguyên hệ thống nhằm mục đích tạo ra tiền điện tử bất hợp pháp.
Biện Pháp Phòng Chống và Giảm Thiểu
Để bảo vệ hệ thống khỏi lỗ hổng CVE-2025-55182 và các cuộc tấn công liên quan, các tổ chức cần áp dụng các biện pháp giảm thiểu toàn diện do Microsoft cung cấp. Việc cập nhật bản vá bảo mật là điều tối cần thiết. Ngoài ra, cần tăng cường kiểm tra xác thực đầu vào nghiêm ngặt hơn, đặc biệt đối với các dữ liệu được xử lý bởi giao thức Flight trong React Server Components và Next.js.
Đồng thời, việc giám sát mạng chặt chẽ, triển khai các giải pháp phát hiện xâm nhập (IDS/IPS) và thường xuyên kiểm tra các hành vi bất thường trên hệ thống có thể giúp phát hiện và ngăn chặn các nỗ lực khai thác. Việc quản lý quyền truy cập và phân đoạn mạng cũng là các chiến lược quan trọng để giảm thiểu tác động khi một hệ thống bị xâm nhập thông qua remote code execution.
