Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Tin tặc Trung Quốc khai thác lỗ hổng React2Shell

11:00 | 08/12/2025
Hồng Đạt

AWS cho biết đã phát hiện nhiều nhóm tin tặc Trung Quốc đang cố gắng thực thi lỗ hổng bảo mật React2Shell (CVE-2025-55182). Lỗ hổng nghiêm trọng này có thể bị khai thác bằng các yêu cầu HTTP được thiết kế đặc biệt để thực thi mã từ xa không xác thực trên các máy chủ bị ảnh hưởng. Nhà nghiên cứu Lachlan Davidson đã báo cáo lỗ hổng cho Meta - đơn vị bảo trì React vào ngày 29/11 và bản vá được phát hành sau đó vào ngày 3/12.

React2Shell có thể ảnh hưởng đến nhiều hệ thống, bởi vì React - một thư viện JavaScript mã nguồn mở có chức năng tạo giao diện người dùng ứng dụng, hỗ trợ hàng triệu trang web và gói npm liên quan của nó có hàng triệu lượt tải xuống mỗi tuần. Công ty bảo mật Wiz báo cáo rằng 39% môi trường đám mây chứa các phiên bản React dễ bị tấn công.

Davidson thiết lập một trang web React2Shell chuyên dụng, nhưng chưa công bố chi tiết kỹ thuật về lỗ hổng bảo mật. Tuy nhiên, một số tác nhân đe dọa và các nhà nghiên cứu đã tiến hành dịch ngược và phân tích các bản vá.

Một số mã khai thác bằng chứng khái niệm (PoC) được công bố ngay sau khi React2Shell tiết lộ, nhưng thực tế đây là các thông tin giả mạo. Tuy nhiên, dường như có ít nhất một mã PoC công khai hoạt động.

Không có gì ngạc nhiên khi các nỗ lực khai thác cũng đã được phát hiện. Ngày 4/12, AWS báo cáo rằng các nhóm tình báo mối đe dọa của họ phát hiện các nỗ lực khai thác CVE-2025-55182 của các tác nhân đe dọa có liên hệ với Trung Quốc chỉ vài giờ sau khi công bố. AWS lưu ý, mặc dù việc xác định chính xác là một thách thức do các tin tặc chia sẻ cơ sở hạ tầng xâm phạm, nhưng công ty tin rằng các nỗ lực tấn công đã được thực hiện bởi các nhóm có tên là Earth Lamia và Jackpot Panda.

Trong khi Earth Lamia hoạt động ít nhất từ ​​năm 2023, nhắm mục tiêu vào nhiều ngành công nghiệp khác nhau ở Mỹ Latinh, Trung Đông và Đông Nam Á. Mặt khác, Jackpot Panda hoạt động từ năm 2020 với các hoạt động gián điệp mạng ở châu Á. AWS cho biết: “Những kẻ tấn công đang sử dụng cả công cụ rà quét tự động và các lỗ hổng PoC riêng lẻ”.

Dan Andrew, người đứng đầu bộ phận an ninh tại Công ty an ninh mạng Intruder, tiết lộ cũng đã chứng kiến ​​hoạt động khai thác React2Shell, nhưng chưa chia sẻ thông tin về tác nhân có thể đứng sau các cuộc tấn công. Bên cạnh đó, nhà nghiên cứu bảo mật Kevin Beaumont cho biết lỗ hổng bảo mật chỉ ảnh hưởng đến React phiên bản 19, cụ thể là các trường hợp sử dụng tính năng máy chủ tương đối mới.

Theo Beaumont, một số nỗ lực khai thác này đang sử dụng PoC giả mạo. Củng cố thêm nhận định này, AWS xác nhận một số tác nhân đe dọa đang cố gắng sử dụng các thông tin PoC giả mạo, vốn không hoạt động trong các tình huống thực tế, cho thấy chúng đang cố gắng khai thác và thực thi lỗ hổng bảo mật này.

AWS chứng kiến ​​các tác nhân đe dọa xử lý một cách có hệ thống các nỗ lực khai thác, AWS giải thích: “Hành vi này chứng tỏ rằng kẻ tấn công không chỉ chạy rà quét tự động mà còn tích cực gỡ lỗi và tinh chỉnh các kỹ thuật khai thác của chúng đối với các mục tiêu thực tế”. Gã khổng lồ điện toán đám mây đã cung cấp các chỉ số xâm phạm (IoC) để giúp các tổ chức phát hiện các nỗ lực khai thác tiềm ẩn.

Twitter Zalo Facebook YouTube Copy Link QR Code
TRUNG QUỐC REACT2SHELL TIN TẶC LỖ HỔNG BẢO MẬT NGHIÊM TRỌNG JACKPOT PANDA AWS CVE-2025-55182 JAVASCRIPT REACT EARTH LAMIA
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết