พบ IP addresses บนอินเตอร์เน็ตกว่า 77,000 รายการ ที่มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ Remote code execution ระดับ Critical "React2Shell" (CVE-2025-55182) โดยนักวิจัยยืนยันว่า Hacker ได้โจมตีองค์กรไปแล้วมากกว่า 30 แห่งในหลายภาคส่วน
React2Shell (CVE-2025-55182) เป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ซึ่งสามารถโจมตีได้ผ่าน single HTTP request และส่งผลกระทบต่อเฟรมเวิร์กทั้งหมดที่ใช้งาน React Server Components รวมถึง Next.js ซึ่งใช้ deserialization logic แบบเดียวกัน
React ได้เปิดเผยช่องโหว่ CVE-2025-55182 เมื่อวันที่ 3 ธันวาคม 2025 โดยอธิบายว่าการ deserialization ของ client-controlled data ภายใน React Server Components ที่ไม่ปลอดภัย ทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน
Developers จำเป็นต้องอัปเดต React ให้เป็นเวอร์ชันล่าสุดโดยด่วน เพื่อแก้ไขช่องโหว่ดังกล่าว
เมื่อวันที่ 4 ธันวาคม 2025 นักวิจัยด้านความปลอดภัย Maple3142 ได้เผยแพร่ proof-of-concept(POC) ซึ่งแสดงให้เห็นถึงการเรียกใช้คำสั่งจากระยะไกลกับเซิร์ฟเวอร์ที่มีช่องโหว่ หลังจากนั้นไม่นาน การสแกนหาระบบที่มีช่องโหว่ก็เพิ่มขึ้นอย่างรวดเร็ว เนื่องจาก Hacker และนักวิจัยเริ่มทดสอบโดยใช้ช่องโหว่นี้ด้วยเครื่องมือสแกนอัตโนมัติ
IP addresses กว่า 77,000 รายการ ที่เสี่ยงต่อการโจมตีช่องโหว่
Shadowserver รายงานว่าได้ตรวจพบ IP จำนวน 77,664 รายการ ที่มีช่องโหว่ React2Shell โดยมีประมาณ 23,700 รายการในสหรัฐอเมริกา
นักวิจัยระบุว่า พบ IP ที่มีช่องโหว่โดยใช้เทคนิคการตรวจจับที่พัฒนาโดย Searchlight Cyber/Assetnote โดยส่ง HTTP request ไปยังเซิร์ฟเวอร์เพื่อทดสอบโจมตีช่องโหว่ดังกล่าว และมีการตรวจสอบ specific response เพื่อยืนยันว่าอุปกรณ์มีช่องโหว่หรือไม่
GreyNoise ได้บันทึก IP ที่แตกต่างกัน 181 รายการ ซึ่งพยายามใช้ช่องโหว่ดังกล่าวในการโจมตีอย่างต่อเนื่อง โดยทราฟฟิกส่วนใหญ่ดูเหมือนจะเกิดจากระบบอัตโนมัติ นักวิจัยระบุว่า การสแกนส่วนใหญ่มาจากเนเธอร์แลนด์, จีน, สหรัฐอเมริกา, ฮ่องกง และประเทศอื่น ๆ อีกจำนวนหนึ่ง
Palto Networks รายงานว่ามีองค์กรมากกว่า 30 แห่งที่ถูกโจมตีผ่านช่องโหว่ React2Shell โดย Hacker ใช้ประโยชน์จากช่องโหว่นี้เพื่อรันคำสั่ง, Scan ช่องโหว่บนระบบ และพยายามขโมยไฟล์ Congiguration และไฟล์ข้อมูล Credentials ของ AWS ที่เป็นเป้าหมาย โดยพบว่า Hacker ที่มุ่งเป้าโจมตีช่องโหว่ React2Shell (CVE-2025-55182) มีความเชื่อมโยงกับ Hacker จากประเทศจีน
พบการโจมตีช่องโหว่ React2Shell (CVE-2025-55182) อย่างกว้างขวาง
GreyNoise รายงานว่า Hacker มักจะเริ่มต้นด้วยคำสั่ง PowerShell ที่ดำเนินการฟังก์ชัน basic math function เพื่อยืนยันว่าอุปกรณ์มีช่องโหว่การเรียกใช้คำสั่งจากระยะไกล
การทดสอบเหล่านี้ให้ผลลัพธ์ที่คาดการณ์ได้ แม้ว่าจะมีสัญญาณการโจมตีเพียงเล็กน้อย:
powershell -c "40138*41979" powershell -c "40320*43488"
เมื่อได้รับการยืนยันว่าสามารถเรียกใช้คำสั่งจากระยะไกลได้ Hacker จะใช้คำสั่ง PowerShell ที่เข้ารหัส base64 ซึ่งจะดาวน์โหลดสคริปต์เพิ่มเติมลงในหน่วยความจำโดยตรง
powershell -enc <base64>
มีคำสั่งหนึ่งที่ตรวจพบว่าเรียกใช้ second-stage PowerShell script จากเว็บไซต์ภายนอก (23[.]235[.]188[.]3) ซึ่งใช้เพื่อปิดใช้งาน AMSI เพื่อหลีกเลี่ยงการตรวจจับจาก endpoint security และปรับใช้เพย์โหลดเพิ่มเติม
ทีม threat intelligence ของ Amazon AWS ยังพบการโจมตีอย่างรวดเร็วภายในไม่กี่ชั่วโมงหลังจากการเปิดเผยช่องโหว่ของ React (CVE-2025-55182) ซึ่งมาจากโครงสร้างพื้นฐานของกลุ่ม APT ที่เชื่อมโยงกับ Hacker จากจีนที่รู้จักกันในชื่อ Earth Lamia และ Jackpot Panda
ในการโจมตีนี้ Hacker จะทำการ Scan บนเซิร์ฟเวอร์ที่มีช่องโหว่โดยใช้คำสั่งเช่น whoami และ id รวมถึงพยายามเขียนไฟล์ และอ่าน /etc/passwd
Palo Alto Networks ยังพบการโจมตีที่คล้ายคลึงกัน โดยระบุว่าบางส่วนเกิดจากกลุ่ม UNC5174 ซึ่งเป็น Hacker จากจีน ซึ่งเชื่อว่ามีความเชื่อมโยงกับกระทรวงความมั่นคงแห่งรัฐของจีน
Justin Moore ผู้จัดการอาวุโสของ Palo Alto Networks Unit 42 ระบุว่า "Unit 42 ได้ตรวจพบภัยคุกคามที่สอดคล้องกับ CL-STA-1015 (หรือที่เรียกว่า UNC5174) ซึ่งเป็นกลุ่มที่ต้องสงสัยว่าเป็น initial access broker ที่มีความเชื่อมโยงกับกระทรวงความมั่นคงแห่งรัฐของจีน"
ในการดำเนินการนี้ Unit 42 ได้สังเกตการใช้งานมัลแวร์ Snowlight และ Vshell ซึ่งทั้งสองตัวอย่างสอดคล้องอย่างยิ่งกับข้อมูลของ Unit 42 เกี่ยวกับกลุ่ม CL-STA-1015 (หรือที่เรียกว่า UNC5174)
มัลแวร์ที่นำไปใช้ในการโจมตีเหล่านี้คือ :
Snowlight : malware dropper ที่ช่วยให้ Hacker จากภายนอกสามารถดาวน์โหลดเพย์โหลดเพิ่มเติมลงในอุปกรณ์ที่ถูกโจมตีระบบได้
Vshell : backdoor ที่กลุ่ม Hacker จากจีนมักใช้เพื่อการเข้าถึงจากระยะไกล หลังการโจมตีระบบ และเพื่อโจมตีต่อไปภายในเครือข่ายที่ถูกโจมตี
ควรอัปเดตแพตซ์โดยด่วน
เนื่องจากระดับความรุนแรงของช่องโหว่ React บริษัทต่าง ๆ ทั่วโลกจึงควรรีบติดตั้งแพตช์ และหาวิธีลดผลกระทบจากช่วงโหว่อย่างเร่งด่วน
CISA ยังได้เพิ่มหมายเลข CVE-2025-55182 ลงใน Known Exploited Vulnerabilities (KEV) catalog โดยกำหนดให้หน่วยงานรัฐบาลกลางต้องแก้ไขช่องโหว่ภายในวันที่ 26 ธันวาคม 2025 ภายใต้คำสั่ง Binding Operational Directive 22-01
ขอแนะนำให้องค์กรที่ใช้ React Server Components หรือเฟรมเวิร์กที่สร้างขึ้นบน React Server Components ดำเนินการอัปเดตทันที สร้าง และปรับใช้แอปพลิเคชันใหม่ และตรวจสอบ log เพื่อหาสัญญาณของการใช้งาน PowerShell หรือคำสั่ง shell
ที่มา : bleepingcomputer
You must be logged in to post a comment.