Mục lục
Một công nghệ web được sử dụng rộng rãi bậc nhất hiện nay đang phải đối mặt với một lỗ hổng bảo mật cực kỳ nghiêm trọng, cho phép kẻ xấu khai thác với nỗ lực tối thiểu nhưng lại có thể gây tổn hại nặng nề cho các máy chủ. Được giới chuyên môn đặt tên là “React2Shell“, lỗi bảo mật này đang đặt ra yêu cầu cấp bách về việc cập nhật bản vá lỗi trên diện rộng đối với vô số tổ chức, doanh nghiệp đang hoạt động trên cả môi trường internet công cộng lẫn các nền tảng điện toán đám mây.
Mối đe dọa từ lỗ hổng React2Shell đối với hạ tầng web
Các nhà nghiên cứu bảo mật vừa qua đã phát hiện ra một lỗ hổng an ninh chí mạng có khả năng gây ra những hậu quả thảm khốc cho cơ sở hạ tầng web và các hệ thống đám mây riêng tư. Lỗ hổng này ảnh hưởng trực tiếp đến React, một khung phần mềm (framework) cực kỳ phổ biến trong giới lập trình. Đây được xem là một vấn đề “hoàn hảo” hiếm gặp trong thế giới an ninh mạng theo nghĩa tiêu cực: nó vừa cực kỳ dễ bị khai thác, lại vừa có khả năng gây ra những thiệt hại nghiêm trọng cho các máy chủ web.
Để độc giả phổ thông dễ hình dung, React là một thư viện mã nguồn mở dựa trên ngôn ngữ lập trình JavaScript, được thiết kế chuyên biệt để đơn giản hóa quá trình phát triển giao diện người dùng. Được duy trì và phát triển bởi tập đoàn công nghệ Meta (công ty mẹ của Facebook) cùng cộng đồng mã nguồn mở, khung phần mềm này hỗ trợ xây dựng cả các ứng dụng đơn trang (single-page applications) và các ứng dụng được kết xuất từ phía máy chủ. Lợi thế lớn nhất về mặt hiệu suất của React đến từ khả năng thông minh của nó trong việc chỉ hiển thị lại (re-render) một cách chọn lọc những phần của trang web có sự thay đổi, thay vì phải tải lại toàn bộ trang.
Sự phổ biến của React là không thể phủ nhận khi công nghệ này đang vận hành khoảng 6% tổng số các trang web hiện có trên toàn thế giới và hiện diện trong 39% các môi trường điện toán đám mây. Không chỉ đứng độc lập, công nghệ này còn là nền tảng cốt lõi cho rất nhiều thành phần và khung phần mềm bên thứ ba phổ biến khác, trong đó nổi bật nhất là Next.js. Hiện tại, lỗ hổng bảo mật nghiêm trọng trong React đang được theo dõi dưới mã định danh CVE-2025-55182, trong khi vấn đề liên quan trên Next.js được gắn mã CVE-2025-66478.
Cơ chế tấn công đơn giản nhưng hậu quả khôn lường
Theo báo cáo chi tiết từ các nhà nghiên cứu tại công ty bảo mật Wiz, lỗ hổng nghiêm trọng này ảnh hưởng đến các cấu hình mặc định của cả Next.js và React. Điều đáng báo động là tin tặc có thể khai thác nó với nỗ lực cực kỳ nhỏ. Nguyên nhân gốc rễ của vấn đề nằm ở giao thức “Flight” được sử dụng trong các thành phần máy chủ React (React Server Components – RSC).
Cụ thể, một lỗi giải mã dữ liệu (deserialization) không an toàn trong RSC cho phép những kẻ tấn công kích hoạt việc thực thi mã lệnh từ phía máy chủ thông qua một gói tin độc hại được điều khiển từ xa. Quá trình khai thác diễn ra đơn giản đến mức đáng báo động: những kẻ tấn công chỉ cần gửi một yêu cầu HTTP duy nhất được chế tạo đặc biệt đến một máy chủ đang tồn tại lỗ hổng. Các chuyên gia phân tích tại Wiz cho biết họ đã phát triển thành công một bằng chứng khái niệm (proof-of-concept) để chứng minh khả năng tấn công, mặc dù họ chưa công bố chi tiết kỹ thuật đầy đủ để tránh việc kẻ xấu lợi dụng. Trong các thử nghiệm nội bộ, các nỗ lực khai thác lỗ hổng React2Shell đã cho thấy độ tin cậy và tỷ lệ thành công gần như hoàn hảo.
Véc-tơ tấn công này nguy hiểm ở chỗ nó hoàn toàn có thể thực hiện từ xa và không yêu cầu bất kỳ xác thực hay đăng nhập nào. Điều này có nghĩa là tin tặc không cần phải có tài khoản hay mật khẩu của hệ thống vẫn có thể xâm nhập được. Tệ hơn nữa, Wiz cho biết nhiều môi trường đám mây hiện đang để lộ các phiên bản Next.js có thể truy cập công khai, khiến chúng trở thành những mục tiêu tiềm năng và dễ bị tổn thương trước lỗi RSC này.
Giải pháp khắc phục và khuyến cáo từ chuyên gia
Trước tình hình cấp bách này, đội ngũ phát triển React đã nhanh chóng hành động và phát hành một phiên bản cập nhật của khung phần mềm. Bản cập nhật này bao gồm các quy trình xác thực và giải mã dữ liệu an toàn hơn nhằm ngăn chặn và giảm thiểu các cuộc tấn công theo phong cách React2Shell. Những người duy trì khung phần mềm, các nền tảng cung cấp dịch vụ lưu trữ (hosting) và các nhà cung cấp dịch vụ đám mây đang được các chuyên gia bảo mật thúc giục cập nhật ngay lập tức.
Việc chậm trễ trong công tác cập nhật bản vá sẽ khiến công việc của những kẻ tấn công trở nên dễ dàng hơn đáng kể và đặt dữ liệu cũng như hệ thống của người dùng vào vòng nguy hiểm. Trong một thông báo liên quan, Google đã lên tiếng trấn an khách hàng của mình khi tuyên bố rằng các hình ảnh hệ điều hành (OS images) được sử dụng trong dịch vụ đám mây Compute Engine của họ không bị ảnh hưởng bởi lỗ hổng này theo cấu hình mặc định. Tuy nhiên, đối với phần còn lại của thế giới web, việc nâng cấp hệ thống lúc này không còn là một lựa chọn, mà là một yêu cầu bắt buộc để đảm bảo an toàn.