-
09/04/2020
-
125
-
1.599 bài viết
Lỗ hổng React2Shell bị khai thác ồ ạt trên các hệ thống web hiện đại
Một bộ công cụ khai thác mới mang tên ILOVEPOOP đang được sử dụng để vũ khí hóa lỗ hổng CVE-2025-55182, còn gọi là React2Shell, nhằm quét và nhắm mục tiêu vào các môi trường Next.js và React Server Components tồn tại điểm yếu. Chiến dịch này được phát hiện bởi WXA Internet Abuse Signal Collective sau khi đơn vị này phân tích dữ liệu NetFlow, thông tin từ hệ thống honeypot và các nguồn dữ liệu bổ sung để lần theo hạ tầng đứng sau hoạt động tấn công.
React2Shell được công bố công khai ngày 4/12/2025. Chỉ khoảng 20 giờ sau đó, các cảm biến honeypot Niihama đã ghi nhận những nỗ lực khai thác đầu tiên. Lưu lượng ban đầu cho thấy kẻ tấn công sử dụng yêu cầu HTTP POST kèm header Next-Action: x, một dấu hiệu liên quan đến cơ chế React Server Actions. Payload được gửi dưới dạng multipart/form-data với độ dài nội dung ổn định, nhắm tới các đường dẫn như:
- /_next/flight
- /_next/server-actions
- /_react/flight
- /_next/webpack-hmr
- /login
- /api/login
Trong tháng đầu tiên sau khi lỗ hổng được công bố, hệ thống ghi nhận hơn 1.500 lượt khai thác đến từ hơn 70 địa chỉ IP thuộc nhiều quốc gia khác nhau, cho thấy tốc độ vũ khí hóa diễn ra rất nhanh và mang tính toàn cầu.
Dữ liệu của WXA cho thấy hạ tầng chiến dịch tập trung cao độ quanh hai địa chỉ IP đặt tại Hà Lan là 193.142.147[.]209 và 87.121.84[.]24. Trong vòng ba tháng theo dõi, hai hệ thống này tạo ra hơn 22 triệu bản ghi NetFlow và tương tác với hàng triệu địa chỉ IP nguồn và đích. Báo cáo độc lập từ GreyNoise cũng xác nhận hai IP này chiếm hơn một nửa tổng lưu lượng khai thác React2Shell được quan sát trong giai đoạn giám sát.
Đáng chú ý, IP 87.121.84[.]24 được xác định có liên quan trực tiếp đến một framework khai thác thống nhất mang tên ILOVEPOOP. Bộ công cụ này vận hành thông qua 9 node quét đặt tại Ba Lan, Đức, Bulgaria và Hà Lan. Trong khoảng thời gian 30 ngày, toolkit này tạo ra 672 lượt khai thác với các đặc điểm hoàn toàn trùng khớp, bao gồm:
Dữ liệu của WXA cho thấy hạ tầng chiến dịch tập trung cao độ quanh hai địa chỉ IP đặt tại Hà Lan là 193.142.147[.]209 và 87.121.84[.]24. Trong vòng ba tháng theo dõi, hai hệ thống này tạo ra hơn 22 triệu bản ghi NetFlow và tương tác với hàng triệu địa chỉ IP nguồn và đích. Báo cáo độc lập từ GreyNoise cũng xác nhận hai IP này chiếm hơn một nửa tổng lưu lượng khai thác React2Shell được quan sát trong giai đoạn giám sát.
Đáng chú ý, IP 87.121.84[.]24 được xác định có liên quan trực tiếp đến một framework khai thác thống nhất mang tên ILOVEPOOP. Bộ công cụ này vận hành thông qua 9 node quét đặt tại Ba Lan, Đức, Bulgaria và Hà Lan. Trong khoảng thời gian 30 ngày, toolkit này tạo ra 672 lượt khai thác với các đặc điểm hoàn toàn trùng khớp, bao gồm:
- Header Next-Action: x
- Header tĩnh X-Nextjs-Request-Id: poop1234
- X-Nextjs-Html-Request-Id theo mẫu ilovepoop_*
- Kích thước payload từ 507 đến 522 byte
- Quét 6 đường dẫn cố định: /, /_next, /api, /_next/server, /app, /api/route
- Luân phiên sử dụng 11 chuỗi User-Agent
Cấu trúc đồng nhất này cho thấy khả năng cao đây là hoạt động của một tác nhân duy nhất hoặc một bộ công cụ được kiểm soát chặt chẽ, thay vì các nhóm quét cơ hội độc lập.
Chiến dịch không chỉ dừng lại ở khai thác qua HTTP. Honeypot còn ghi nhận một node quét cố gắng gửi payload React2Shell thông qua dịch vụ POP3. Điều này cho thấy có thể tồn tại một engine khai thác không phụ thuộc giao thức, có khả năng tái sử dụng cùng một primitive RSC trên nhiều dịch vụ, hoặc đơn giản là chiến thuật phát tán diện rộng nhằm vượt qua cơ chế kiểm tra dựa trên cổng dịch vụ.
Ngoài ra, IP 87.121.84[.]24 còn phát sinh các đợt lưu lượng ngắn sử dụng giao thức DNP3, vốn thường xuất hiện trong hệ thống điều khiển công nghiệp. Diễn biến này cho thấy hoạt động trinh sát có thể vượt ra ngoài phạm vi các mục tiêu web truyền thống.
Trong các tương tác NetFlow có nguồn từ Hoa Kỳ, khoảng 65.000 bản ghi có độ tin cậy cao được liên kết tới các tổ chức cụ thể sau khi làm giàu dữ liệu. Các lĩnh vực chịu ảnh hưởng lớn bao gồm nền tảng SaaS và phần mềm, bán lẻ và thương mại điện tử, cơ quan chính phủ, giáo dục và nghiên cứu, cùng lĩnh vực y tế.
Theo WhoisXMLAPI, có 669 địa chỉ IP từng liên lạc với các máy chủ khai thác tại Hà Lan sau đó đã thực hiện hành vi tấn công trực tiếp vào honeypot Niihama. Các hoạt động ghi nhận gồm 23.415 lượt thử SMB, 17.405 lượt thử RDP, 7.772 lượt thử SSH và hơn 25.000 lượt thử lạm dụng thông tin xác thực. Trong 91 trường hợp, dữ liệu NetFlow cho thấy các IP này đã tương tác với hạ tầng khai thác trước khi tấn công honeypot với khoảng cách trung vị 45 ngày, cho thấy giá trị cảnh báo sớm đáng kể của việc giám sát lưu lượng liên quan đến hạ tầng độc hại.
Chiến dịch ILOVEPOOP là ví dụ điển hình cho tốc độ vũ khí hóa lỗ hổng trong hệ sinh thái web hiện đại. React2Shell tác động trực tiếp tới Next.js và React Server Components, những công nghệ đang được sử dụng rộng rãi trong phát triển ứng dụng. Rủi ro vì vậy không chỉ dừng ở mức khai thác thử nghiệm mà đã nhanh chóng chuyển thành hoạt động có tổ chức, sở hữu hạ tầng tập trung và xuất hiện dấu hiệu mở rộng sang nhiều bề mặt tấn công khác nhau.
Chiến dịch không chỉ dừng lại ở khai thác qua HTTP. Honeypot còn ghi nhận một node quét cố gắng gửi payload React2Shell thông qua dịch vụ POP3. Điều này cho thấy có thể tồn tại một engine khai thác không phụ thuộc giao thức, có khả năng tái sử dụng cùng một primitive RSC trên nhiều dịch vụ, hoặc đơn giản là chiến thuật phát tán diện rộng nhằm vượt qua cơ chế kiểm tra dựa trên cổng dịch vụ.
Ngoài ra, IP 87.121.84[.]24 còn phát sinh các đợt lưu lượng ngắn sử dụng giao thức DNP3, vốn thường xuất hiện trong hệ thống điều khiển công nghiệp. Diễn biến này cho thấy hoạt động trinh sát có thể vượt ra ngoài phạm vi các mục tiêu web truyền thống.
Trong các tương tác NetFlow có nguồn từ Hoa Kỳ, khoảng 65.000 bản ghi có độ tin cậy cao được liên kết tới các tổ chức cụ thể sau khi làm giàu dữ liệu. Các lĩnh vực chịu ảnh hưởng lớn bao gồm nền tảng SaaS và phần mềm, bán lẻ và thương mại điện tử, cơ quan chính phủ, giáo dục và nghiên cứu, cùng lĩnh vực y tế.
Theo WhoisXMLAPI, có 669 địa chỉ IP từng liên lạc với các máy chủ khai thác tại Hà Lan sau đó đã thực hiện hành vi tấn công trực tiếp vào honeypot Niihama. Các hoạt động ghi nhận gồm 23.415 lượt thử SMB, 17.405 lượt thử RDP, 7.772 lượt thử SSH và hơn 25.000 lượt thử lạm dụng thông tin xác thực. Trong 91 trường hợp, dữ liệu NetFlow cho thấy các IP này đã tương tác với hạ tầng khai thác trước khi tấn công honeypot với khoảng cách trung vị 45 ngày, cho thấy giá trị cảnh báo sớm đáng kể của việc giám sát lưu lượng liên quan đến hạ tầng độc hại.
Chiến dịch ILOVEPOOP là ví dụ điển hình cho tốc độ vũ khí hóa lỗ hổng trong hệ sinh thái web hiện đại. React2Shell tác động trực tiếp tới Next.js và React Server Components, những công nghệ đang được sử dụng rộng rãi trong phát triển ứng dụng. Rủi ro vì vậy không chỉ dừng ở mức khai thác thử nghiệm mà đã nhanh chóng chuyển thành hoạt động có tổ chức, sở hữu hạ tầng tập trung và xuất hiện dấu hiệu mở rộng sang nhiều bề mặt tấn công khác nhau.
Theo Cyber Press