React2Shell 滿分漏洞遭瘋狂利用　Google 揭露至少八個中國駭客組織加入攻擊行列

Google 威脅情報小組（Google Threat Intelligence Group, GTIG）近日針對編號 CVE-2025-55182 的遠端程式碼執行（Remote Code Execution, RCE）漏洞發布最高級別警報。這項被稱為「React2Shell」的漏洞影響主流前端框架 React 與 Next.js，CVSS v3.x 嚴重度評分達滿分 10.0，且已遭多個國家級駭客組織積極利用。

漏洞揭露數小時內攻擊全面爆發

CVE-2025-55182 於 12 月 3 日公開揭露，允許未經身份驗證的遠端攻擊者，僅透過單一 HTTP 請求即可在受影響的應用程式中執行任意程式碼。受影響的套件包括 react-server-dom-parcel、react-server-dom-turbopack 與 react-server-dom-webpack，影響版本涵蓋過去一年內發布的 React 19.0、19.1.0、19.1.1 及 19.2.0。

由於 React 是全球最廣泛使用的前端 JavaScript 函式庫，而 Next.js 又是其主流的伺服器端渲染（Server-Side Rendering, SSR）框架，潛在受影響面積極為龐大。根據 Shadowserver 基金會追蹤，目前全球有超過 11.6 萬個 IP 位址暴露於 React2Shell 攻擊風險中，其中逾 8 萬個位於美國。GreyNoise 的監測數據則顯示，過去 24 小時內已有超過 670 個 IP 位址嘗試利用此漏洞發動攻擊。

至少八個中國駭客組織參與攻擊

GTIG 於週末發布的最新報告指出，至少有五個中國網路間諜組織加入原本已在進行的 React2Shell 攻擊行動。加上先前已確認的 UNC6584、UNC5454（Earth Lamia）與 UNC3569（Jackpot Panda），目前已知參與攻擊的中國國家級威脅行為者至少達八個。

各組織部署了不同的惡意工具：UNC6600 部署 MINOCAT 隧道軟體；UNC6586 使用 SNOWLIGHT 下載器；UNC6588 植入 COMPOOD 後門程式；UNC6603 部署更新版 HISONIC 後門；UNC6595 則散布 ANGRYREBEL.LINUX 遠端存取木馬（Remote Access Trojan, RAT）。

Amazon Web Services（AWS）資安團隊亦警告，Earth Lamia 與 Jackpot Panda 在漏洞揭露後數小時內即開始利用 React2Shell 竊取 AWS 配置檔案與憑證。Palo Alto Networks 的調查則顯示，已有數十個組織遭到入侵。

伊朗駭客與挖礦攻擊同步進行

除中國威脅行為者外，GTIG 也觀察到伊朗駭客組織正鎖定此漏洞發動攻擊。此外，出於經濟動機的攻擊者亦在未修補的系統上部署 XMRig 加密貨幣挖礦軟體。GTIG 指出，先前被視為「虛假」的公開概念驗證（Proof-of-Concept, PoC）程式碼庫，近期不斷被更新並加入真正的 RCE 攻擊能力，企業絕不應輕忽當前威脅。

GTIG 研究人員表示：「由於 React Server Components（RSC）被 Next.js 等熱門框架廣泛採用，暴露於此漏洞的系統數量相當可觀。我們也在地下論壇觀察到大量關於 CVE-2025-55182 的討論，包括威脅行為者分享掃描工具、PoC 程式碼及使用經驗的貼文。」

企業應立即採取行動

鑑於攻擊態勢急速升溫，GTIG 建議所有使用 React 的組織應立即升級至 React 19.2.1，使用 Next.js 的環境則應盡速更新至官方最新修補版本。Google Cloud 用戶可啟用 Cloud Armor WAF 規則「cve-canary」作為前線防護。資安團隊應加強監控主機與服務紀錄，特別留意未經授權的 XMRig 部署、異常 CPU 使用率及可疑網路連線等入侵跡象。

值得注意的是，Cloudflare 於 12 月 5 日因緊急部署 React2Shell 緩解措施，導致全球網站服務中斷，凸顯此漏洞對網路基礎設施的廣泛衝擊。

本文轉載自TWCERT/CC、bleepingcomputer。