Lỗ hổng React2Shell (CVE-2025-55182) đang đối mặt với một chiến dịch khai thác lỗ hổng CVE-2025-55182 không ngừng nghỉ. Các tác nhân đe dọa đã thực hiện hơn 8,1 triệu phiên tấn công kể từ khi lỗ hổng này được công bố lần đầu.
Tổng Quan về Khai Thác Lỗ Hổng CVE-2025-55182 React2Shell
Dữ liệu từ GreyNoise Observation Grid cho thấy khối lượng tấn công hàng ngày đã ổn định ở mức 300.000–400.000 phiên. Con số này duy trì kể từ khi đạt đỉnh hơn 430.000 vào cuối tháng 12, báo hiệu một chiến dịch khai thác được duy trì và phối hợp.
Sự kiên trì trong các cuộc tấn công này nhấn mạnh tính nghiêm trọng của lỗ hổng CVE và mức độ ưu tiên mà các tác nhân đe dọa dành cho nó. Các dịch vụ có bật React Server Components (RSC) vẫn là mục tiêu chính.
Chi Tiết Chiến Dịch Tấn Công và Cơ Sở Hạ Tầng
Phân Tích Hạ Tầng Tấn Công
Dấu chân hạ tầng của chiến dịch cho thấy một hoạt động phức tạp và phân tán. Các nhà nghiên cứu đã xác định 8.163 địa chỉ IP nguồn duy nhất, trải rộng trên 1.071 hệ thống tự trị (ASN) và 101 quốc gia.
Sự phân tán địa lý này thể hiện sức hấp dẫn của lỗ hổng đối với nhiều hệ sinh thái tác nhân đe dọa. Điều này bao gồm từ các botnet khai thác đến các nhóm tấn công dai dẳng nâng cao (APT).
Các nhà cung cấp dịch vụ đám mây lớn như Amazon Web Services (AWS) chiếm ưu thế trong hạ tầng tấn công. Riêng AWS đã chiếm hơn một phần ba lưu lượng khai thác được quan sát.
Top 15 ASN đóng góp khoảng 60% tổng số IP nguồn. Thực tế này phản ánh xu hướng của kẻ tấn công trong việc lợi dụng hạ tầng đám mây hợp pháp để che giấu hoạt động độc hại, làm phức tạp việc phòng thủ chống lại các chiến dịch khai thác lỗ hổng CVE-2025-55182.
Đa Dạng Payload và Dấu Vân Tay Mạng
Kẻ tấn công đã tạo ra hơn 70.000 payload duy nhất. Điều này cho thấy sự thử nghiệm và tinh chỉnh liên tục trong các kỹ thuật tấn công.
Phân tích dấu vân tay mạng cho thấy 700 băm JA4H (dấu vân tay ứng dụng HTTP client) và 340 băm JA4T (dấu vân tay ngăn xếp TCP) độc nhất. Các chỉ số này cho thấy sự đa dạng trong các công cụ và cơ chế phân phối payload được sử dụng.
Kỹ Thuật Khai Thác: Quy Trình Hai Giai Đoạn
Việc khai thác lỗ hổng CVE-2025-55182 tuân theo một phương pháp tiếp cận hai giai đoạn có thể dự đoán được. Đây là một chiến thuật phổ biến trong các cuộc tấn công mạng phức tạp.
Giai Đoạn Một: Trinh Sát và Xác Thực
Các thăm dò trinh sát ban đầu nhằm xác thực khả năng thực thi lệnh. Điều này thường được thực hiện thông qua các phép toán số học đơn giản của PowerShell.
Kỹ thuật này cho phép kẻ tấn công kiểm tra sự tồn tại của lỗ hổng và khả năng thực thi lệnh mà không gây ra tác động lớn, trước khi triển khai payload mã hóa phức tạp hơn.
Giai Đoạn Hai: Vượt Qua AMSI và Triển Khai Payload
Các khai thác ở giai đoạn hai sử dụng kỹ thuật bypass AMSI (Antimalware Scan Interface). Mục đích là để thực thi các script độc hại bổ sung trong khi né tránh sự phát hiện của phần mềm chống virus.
Kỹ thuật bypass AMSI thường liên quan đến việc thao túng bộ nhớ hoặc sử dụng các hàm API để vô hiệu hóa hoặc bỏ qua quá trình quét của AMSI, giúp kẻ tấn công triển khai các giai đoạn tiếp theo của cuộc tấn công mạng.
Biện Pháp Phòng Ngừa và Phát Hiện
Khuyến Nghị Vá Lỗi và Bảo Vệ
Các tổ chức vẫn còn bị phơi nhiễm nếu hệ thống chưa được vá lỗi. Gần 50% các địa chỉ IP nguồn được quan sát lần đầu sau tháng 7 năm 2025. Điều này cho thấy việc phân bổ hạ tầng gần đây và xoay vòng IP nhanh chóng của kẻ tấn công.
Danh sách chặn IP tĩnh là không đủ để đối phó với quy mô và tốc độ của chiến dịch này. Để phòng chống khai thác lỗ hổng CVE-2025-55182, các nhà phòng thủ nên triển khai chặn động thông qua các nguồn cấp dữ liệu tình báo mối đe dọa được cập nhật liên tục từ các nhà cung cấp uy tín.
Bản vá bảo mật là ưu tiên hàng đầu. Thông tin chi tiết về các chiến dịch khai thác này có thể được tìm thấy trên các blog bảo mật chuyên sâu như GreyNoise.
Giám Sát Hệ Thống Đầu Cuối
Giám sát điểm cuối cần tập trung vào việc phát hiện các mẫu thực thi PowerShell, các lệnh được mã hóa và các sửa đổi AMSI thông qua kỹ thuật phản ánh (reflection).
Việc chủ động theo dõi các dấu hiệu này có thể giúp phát hiện sớm các hành vi độc hại liên quan đến chiến dịch khai thác lỗ hổng CVE-2025-55182 trước khi chúng gây ra thiệt hại nghiêm trọng.
Kết Luận Kỹ Thuật về Khai Thác Lỗ Hổng CVE-2025-55182
Các tổ chức đang quản lý React Server Components bị phơi nhiễm cần coi đây là một mối đe dọa chủ động, đang diễn ra. Việc này đòi hỏi phải vá lỗi ngay lập tức và áp dụng các biện pháp bảo vệ ở cấp độ mạng.
Việc không áp dụng kịp thời bản vá bảo mật và các biện pháp phòng ngừa sẽ khiến hệ thống tiếp tục gặp rủi ro cao bị xâm nhập. Chủ động bảo vệ là chìa khóa để giảm thiểu rủi ro từ chiến dịch khai thác lỗ hổng CVE-2025-55182.
