ข้อบกพร่อง RCE ใน React Server Components
ข้อบกพร่อง RCE ที่สำคัญใน React Server Components กำลังถูกนำมาใช้เป็นอาวุธเพื่อแฮ็กเซิร์ฟเวอร์ สูบกระเป๋าเงินคริปโต ปลูกโปรแกรมขุด Monero และทำให้เกิดคลื่นการโจรกรรมมูลค่า 3 พันล้านดอลลาร์ในปี 2025. แม้จะมีการร้องขอให้แพตช์อย่างเร่งด่วนก็ตาม
การเตือนภัยในอุตสาหกรรมคริปโตเคอเรนซี
ข้อบกพร่องด้านความปลอดภัยที่สำคัญใน React Server Components ได้กระตุ้นให้เกิดการเตือนภัยอย่างเร่งด่วนในอุตสาหกรรมคริปโตเคอเรนซี เนื่องจากผู้กระทำผิดใช้ช่องโหว่นี้เพื่อสูบกระเป๋าเงินและติดตั้งมัลแวร์ ตามข้อมูลจาก Security Alliance. Security Alliance ได้ประกาศว่า crypto-drainers กำลังใช้ CVE-2025-55182 เป็นอาวุธอย่างแข็งขัน โดยเรียกร้องให้เว็บไซต์ทั้งหมดตรวจสอบโค้ดด้านหน้าในทันทีเพื่อหาทรัพย์สินที่น่าสงสัย
ผลกระทบของช่องโหว่
ช่องโหว่นี้ไม่เพียงแต่ส่งผลกระทบต่อโปรโตคอล Web3 แต่ยังส่งผลกระทบต่อเว็บไซต์ทั้งหมดที่ใช้ React โดยผู้โจมตีมุ่งเป้าไปที่ลายเซ็นอนุญาตในทุกแพลตฟอร์ม ผู้ใช้มีความเสี่ยงเมื่อเซ็นธุรกรรม เนื่องจากโค้ดที่เป็นอันตรายจะดักจับการสื่อสารของกระเป๋าเงินและเปลี่ยนเส้นทางเงินไปยังที่อยู่ที่ควบคุมโดยผู้โจมตี
ตามข้อมูลจากนักวิจัยด้านความปลอดภัย ทีมงานอย่างเป็นทางการของ React ได้เปิดเผย CVE-2025-55182 เมื่อวันที่ 3 ธันวาคม โดยให้คะแนน CVSS 10.0 หลังจากรายงานของ Lachlan Davidson เมื่อวันที่ 29 พฤศจิกายน ผ่าน Meta Bug Bounty
การอัปเดตและแพตช์
ช่องโหว่นี้ส่งผลกระทบต่อ React เวอร์ชัน 19.0, 19.1.0, 19.1.1 และ 19.2.0 ในแพ็คเกจ react-server-dom-webpack, react-server-dom-parcel และ react-server-dom-turbopack. เฟรมเวิร์กหลัก ๆ เช่น Next.js, React Router, Waku และ Expo ต้องการการอัปเดตทันที
ตามคำแนะนำ แพตช์ได้ถูกส่งในเวอร์ชัน 19.0.1, 19.1.2 และ 19.2.1 โดยผู้ใช้ Next.js จำเป็นต้องอัปเกรดในหลายสายการปล่อยตั้งแต่ 14.2.35 ถึง 16.0.10
การโจมตีที่เกิดขึ้น
นักวิจัยพบช่องโหว่ใหม่สองช่องใน React Server Components ขณะพยายามใช้ประโยชน์จากแพตช์ ช่องโหว่เหล่านี้เป็นปัญหาใหม่ที่แยกจาก CVE ที่สำคัญ แพตช์สำหรับ React2Shell ยังคงมีประสิทธิภาพสำหรับการโจมตี Remote Code Execution นักวิจัยกล่าว
Vercel ได้ปรับใช้กฎ Web Application Firewall เพื่อปกป้องโครงการบนแพลตฟอร์มของตนโดยอัตโนมัติ แม้ว่าบริษัทจะเน้นย้ำว่าการป้องกัน WAF เพียงอย่างเดียวยังไม่เพียงพอ การอัปเกรดไปยังเวอร์ชันที่ได้รับการแพตช์จึงเป็นสิ่งจำเป็น
การโจมตีที่แพร่หลาย
Google Threat Intelligence Group ได้บันทึกการโจมตีที่แพร่หลายซึ่งเริ่มขึ้นในวันที่ 3 ธันวาคม โดยติดตามกลุ่มอาชญากรรมที่หลากหลายตั้งแต่แฮกเกอร์ที่มองหาโอกาสไปจนถึงการดำเนินการที่ได้รับการสนับสนุนจากรัฐบาล
กลุ่มแฮกเกอร์จีนได้ติดตั้งมัลแวร์ประเภทต่าง ๆ บนระบบที่ถูกบุกรุก โดยมุ่งเป้าไปที่เซิร์ฟเวอร์คลาวด์บน Amazon Web Services และ Alibaba Cloud ผู้โจมตีเหล่านี้ใช้เทคนิคเพื่อรักษาการเข้าถึงระบบของเหยื่อในระยะยาว
การฟอกเงินและการโจรกรรม
นักอาชญากรรมที่มีแรงจูงใจทางการเงินเข้าร่วมคลื่นการโจมตีตั้งแต่วันที่ 5 ธันวาคม โดยติดตั้งซอฟต์แวร์ขุดคริปโตที่ใช้พลังการประมวลผลของเหยื่อในการสร้าง Monero โปรแกรมขุดเหล่านี้ทำงานตลอดเวลาในพื้นหลัง ทำให้ค่าไฟฟ้าเพิ่มขึ้นในขณะที่สร้างผลกำไรให้กับผู้โจมตี
ฟอรัมแฮกเกอร์ใต้ดินเต็มไปด้วยการอภิปรายที่แชร์เครื่องมือการโจมตีและประสบการณ์การใช้ประโยชน์
การโจมตีห่วงโซ่อุปทาน
นักวิจัยสังเกตเห็น ช่องโหว่ใน React เกิดขึ้นหลังจากการโจมตีเมื่อวันที่ 8 กันยายน ซึ่งแฮกเกอร์ได้บุกรุกบัญชี npm ของ Josh Goldberg และเผยแพร่การอัปเดตที่เป็นอันตรายต่อแพ็คเกจที่ใช้กันอย่างแพร่หลาย 18 แพ็คเกจ รวมถึง chalk, debug และ strip-ansi. ยูทิลิตี้เหล่านี้รวมกันมีการดาวน์โหลดมากกว่า 2.6 พันล้านครั้งต่อสัปดาห์
Charles Guillemet CTO ของ Ledger อธิบายเหตุการณ์นั้นว่าเป็น “การโจมตีห่วงโซ่อุปทานขนาดใหญ่” โดยแนะนำให้ผู้ใช้ที่ไม่มีฮาร์ดแวร์วอลเล็ตหลีกเลี่ยงธุรกรรมบนเชน
คำแนะนำด้านความปลอดภัย
องค์กรที่ใช้ React หรือ Next.js ได้รับคำแนะนำให้แพตช์ทันทีไปยังเวอร์ชัน 19.0.1, 19.1.2 หรือ 19.2.1 ปรับใช้กฎ WAF ตรวจสอบการพึ่งพาทั้งหมด ตรวจสอบการจราจรในเครือข่ายสำหรับคำสั่ง wget หรือ cURL ที่เริ่มต้นโดยกระบวนการเซิร์ฟเวอร์เว็บ และค้นหาสำหรับไดเรกทอรีที่ซ่อนอยู่โดยไม่ได้รับอนุญาตหรือการฉีดการกำหนดค่าช่องโหว่ที่เป็นอันตราย ตามคำแนะนำด้านความปลอดภัย
