CVE-2025-55182 lỗ hổng React2Shell
CVE-2025-55182 lỗ hổng React2Shell
Một làn sóng tấn công quy mô lớn vừa được ghi nhận khi botnet RondoDox bắt đầu khai thác lỗ hổng RCE cực kỳ nghiêm trọng trên các hệ thống Next.js. Sự trỗi dậy của biến thể này đang đặt hàng chục nghìn doanh nghiệp vào tình trạng báo động đỏ trước nguy cơ bị chiếm quyền điều khiển hạ tầng để phục vụ mục đích đào tiền ảo và tấn công từ chối dịch vụ.
Chi tiết về lỗ hổng React2Shell
Theo các báo cáo mới nhất về security, botnet RondoDox đã chính thức đưa lỗ hổng CVE-2025-55182, hay còn gọi là React2Shell, vào kho vũ khí khai thác của mình từ đầu tháng 12 năm 2025. React2Shell là một lỗi RCE không cần xác thực, cho phép tin tặc chiếm quyền điều khiển máy chủ chỉ bằng một yêu cầu HTTP duy nhất nhắm vào giao thức Flight của React Server Components. Mức độ nguy hiểm của lỗ hổng này đã thu hút sự chú ý của nhiều nhóm tin tặc cấp cao, bao gồm cả các nhóm hacker Triều Tiên từng sử dụng nó để phát tán dòng mã độc EtherRAT trước đó.
Quy mô lây nhiễm và Chiến lược tấn công
Báo cáo chi tiết từ công ty an ninh mạng CloudSEK nói rằng RondoDox đã trải qua ba giai đoạn vận hành chiến lược trong năm nay, từ việc trinh sát thử nghiệm cho đến giai đoạn triển khai botnet IoT quy mô lớn hiện nay. Tính đến ngày 30/12, Shadowserver Foundation ghi nhận có tới hơn 94,000 internet-exposed assets đang ở trạng thái phơi nhiễm trước React2Shell trên toàn cầu. Song song với việc quét các máy chủ Next.js, botnet này còn thực hiện các đợt tấn công hàng giờ nhắm vào các bộ định tuyến Linksys và Wavlink để mở rộng mạng lưới lây nhiễm.
Cơ chế hoạt động và Giải pháp phòng vệ
Sau khi xâm nhập thành công, RondoDox sẽ triển khai một bộ payload phức tạp bao gồm trình đào tiền ảo coinminer, biến thể Mirai và đặc biệt là thành phần loader mang tên bolts. Thành phần này đóng vai trò cầm đầu khi thực hiện quét và xóa bỏ mọi mã độc của các botnet đối thủ đang tồn tại trên vật chủ, đồng thời duy trì sự hiện diện bền bỉ thông qua crontab và liên tục tiêu diệt các tiến trình không nằm trong danh sách trắng sau mỗi 45 giây.
Để bảo vệ hạ tầng, các chuyên gia khuyến cáo doanh nghiệp cần ngay lập tức rà soát và vá lỗi Next.js Server Actions, thực hiện cô lập các thiết bị IoT vào các VLAN và giám sát chặt chẽ mọi tiến trình thực thi bất thường trong hệ thống.
Sự kết hợp giữa một lỗ hổng hiện đại trên framework phổ biến như Next.js và kỹ thuật vận hành botnet truyền thống cho thấy xu hướng tấn công đang ngày càng trở nên tinh vi và khó lường hơn. Các tổ chức cần ưu tiên cập nhật bản vá sớm nhất có thể để tránh trở thành một phần trong mạng lưới ma quái của RondoDox.