Ngày 12/12, Google công bố cảnh báo bảo mật đặc biệt nghiêm trọng liên quan đến lỗ hổng CVE-2025-55182, đạt mức điểm tuyệt đối 10/10 theo thang CVSS, kèm theo các hình thức khai thác đang diễn ra.
Google cho biết nhiều nhóm tin tặc đang khai thác lỗ hổng không cần xác thực này, được gọi là React2Shell. Trong giới an ninh mạng, có hai yếu tố gần như không thể xem nhẹ: hệ thống chấm điểm CVSS và đánh giá từ đội ngũ tình báo mối đe dọa của Google. Vì vậy, khi một lỗ hổng đạt điểm CVSS tối đa – mức nghiêm trọng cao nhất – thì đó thực sự là hồi chuông báo động.
CVE-2025-55182, hay React2Shell, là một trường hợp điển hình, phản ánh xu hướng đặt tên cho các lỗ hổng để nhấn mạnh mức độ nguy hiểm và thu hút sự chú ý của cộng đồng.
Google công bố cảnh báo bảo mật đặc biệt nghiêm trọng liên quan đến lỗ hổng CVE-2025-55182. Ảnh minh họa
Trước đó, việc FBI công bố danh sách 630 triệu mật khẩu bị đánh cắp từ thiết bị của một hacker đã đủ gây lo ngại, khi trở thành nguồn dữ liệu cho các cuộc tấn công nhồi nhét thông tin đăng nhập. Tuy nhiên, CVE-2025-55182 thậm chí còn nguy hiểm hơn ở chỗ: kẻ tấn công không cần mật khẩu hay thông tin xác thực nào để khai thác.
Lỗ hổng React2Shell lần đầu được công bố ngày 3/12 và nhanh chóng trở thành tâm điểm của các bản tin an ninh mạng toàn cầu. Đây là một lỗ hổng thực thi mã từ xa không cần xác thực, ảnh hưởng đến các thành phần React Server, cho phép kẻ tấn công gửi chỉ một yêu cầu HTTP để thực thi mã tùy ý, với quyền hạn tương đương tiến trình máy chủ đang chạy. Điều này khiến mức độ rủi ro tăng vọt, đặc biệt trong các hệ thống sản xuất.
Trong cảnh báo của mình, Google nhấn mạnh: “GTIG coi CVE-2025-55182 là một lỗ hổng có rủi ro nghiêm trọng”, đồng thời cho biết “một số lượng lớn hệ thống đang bị ảnh hưởng và dễ bị khai thác”. Nguy cơ càng trở nên đáng lo ngại khi có nhiều kỹ thuật tấn công khả thi, thậm chí trong một số trường hợp, chỉ cần gói phần mềm dễ bị tổn thương tồn tại trên hệ thống cũng đủ để bị khai thác.
Báo cáo của Google cũng chỉ ra rằng nhiều nhóm tội phạm mạng – được mô tả là các cụm “hoạt động gián điệp và có động cơ tài chính liên quan đến Trung Quốc” – đã bị phát hiện khai thác lỗ hổng này. Các nhóm bị nêu tên gồm UNC5454, UNC6600, UNC6586, UNC6588, UNC6603, UNC6595 và Jackpot Panda. Theo Google, đây đều là những mối đe dọa nghiêm trọng và đáng tin cậy, không thể xem nhẹ.
Google nhấn mạnh: “GTIG coi CVE-2025-55182 là một lỗ hổng có rủi ro nghiêm trọng”. Ảnh minh họa
Trước tình hình đó, Nhóm Tình báo Mối đe dọa của Google khuyến nghị các tổ chức sử dụng React hoặc Next.js cần triển khai ngay các biện pháp giảm thiểu rủi ro. Cụ thể, các hệ thống phải được vá lỗi lập tức bằng cách nâng cấp React Server lên ít nhất các phiên bản 19.0.1, 19.1.2 hoặc 19.2.1, tùy môi trường sử dụng; việc cập nhật lên phiên bản 19.2.2 hoặc 19.2.3 sẽ giúp ngăn chặn nguy cơ thực thi mã từ xa.
Ngoài ra, các tổ chức cần rà soát dấu hiệu bị xâm nhập như sự xuất hiện của các thư mục ẩn bất thường (ví dụ $HOME/.systemd-utils), việc chấm dứt trái phép các tiến trình như ntpclient, hoặc mã độc bị chèn vào các tệp cấu hình shell như $HOME/.bashrc.
Việc kiểm tra các thành phần phụ thuộc cũng được khuyến cáo, nhằm xác định liệu các thành phần React Server dễ bị tổn thương có đang được tích hợp trong các ứng dụng khác hay không.
Đồng thời, Google cho biết đã triển khai các quy tắc tường lửa ứng dụng web (WAF) thông qua Cloud Armor để phát hiện và ngăn chặn các nỗ lực khai thác liên quan đến lỗ hổng này.
Theo Google, không còn thời gian để chần chừ. Các tổ chức cần nhanh chóng nghiên cứu kỹ cảnh báo, tuân thủ đầy đủ các khuyến nghị và triển khai biện pháp bảo vệ ngay lập tức nhằm giảm thiểu rủi ro trước một trong những lỗ hổng nguy hiểm nhất hiện nay.
