Security
React2Shell: 77 Ribu IP Rentan, 30 Organisasi Sudah Dibobol
Kerentanan kritis React2Shell (CVE-2025-55182) kini terbukti dieksploitasi secara luas, dengan lebih dari 77.000 alamat IP terpapar dan lebih dari 30 organisasi di berbagai sektor sudah dikompromikan.
Ringkasan Kerentanan
- Jenis: Remote Code Execution (RCE) tanpa autentikasi.
- Cara eksploitasi: Satu HTTP request ke React Server Components (RSC).
- Framework terdampak: React dan Next js (menggunakan logika deserialization yang sama).
- Penyebab: Unsafe deserialization dari data yang dikontrol klien.
- Patch: Developer harus segera update React ke versi terbaru, rebuild, dan redeploy aplikasi.
Bukti Eksploitasi
- PoC publik: Dipublikasikan oleh peneliti Maple3142 pada 4 Desember 2025.
- Scanning masif: Dimulai segera setelah PoC dirilis, dengan ribuan IP melakukan eksploitasi otomatis.
- Distribusi global: Shadowserver mendeteksi 77.664 IP rentan, dengan 23.700 di AS. GreyNoise mencatat 181 IP unik mencoba eksploitasi dalam 24 jam terakhir, terutama dari Belanda, China, AS, dan Hong Kong.
Teknik Serangan
- Langkah awal: PowerShell sederhana untuk menguji kerentanan (
40138*41979,40320*43488). - Tahap lanjut: Eksekusi PowerShell base64 untuk mengunduh script ke memori.
- Payload: Script dari host eksternal menonaktifkan AMSI, lalu memasang Cobalt Strike beacon.
- Malware tambahan:
- Snowlight – dropper untuk payload lanjutan.
- Vshell – backdoor untuk akses jarak jauh dan pergerakan lateral.
Aktor Ancaman
- Earth Lamia dan Jackpot Panda: grup APT terkait negara China, terdeteksi oleh AWS.
- UNC5174 (CL-STA-1015): aktor yang diyakini terkait Kementerian Keamanan Negara China, diamati oleh Palo Alto Networks Unit 42.
Dampak
- Serangan mencakup pencurian file konfigurasi AWS, eksekusi perintah (
whoami,id), serta upaya membaca file sensitif (/ etc / passwd). - Lebih dari 30 organisasi sudah dikompromikan, termasuk intrusi yang dikaitkan dengan aktor negara.
Respons & Mitigasi
- Cloudflare: menerapkan mitigasi darurat di WAF, meski sempat menyebabkan outage global.
- CISA: menambahkan CVE-2025-55182 ke Known Exploited Vulnerabilities (KEV), mewajibkan patch di instansi federal sebelum 26 Desember 2025.
- Rekomendasi: Segera patch, rebuild, dan redeploy aplikasi. Periksa log untuk tanda eksekusi PowerShell atau shell command mencurigakan.
Sumber: Shadowserver, GreyNoise, Palo Alto Networks, AWS, CISA
