ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบข่าวสารเกี่ยวกับการโจมตีที่เกิดขึ้นจริงผ่านช่องโหว่ React2Shell แนะนำผู้ดูแลระบบอัปเดตแพตช์โดยด่วน เพื่อลดความเสี่ยงจากการถูกโจมตี [1]
1. รายละเอียดช่องโหว่
CVE-2025-55182 (คะแนน CVSSv.3.1: 10.0) เป็นช่องโหว่ด้านความปลอดภัยในกลไก React Server Components (RSC) และ Flight Protocol ซึ่งเป็นส่วนที่ทำให้ React ประมวลผล UI และดึงข้อมูลบนฝั่ง server ก่อนส่งผลลัพธ์ไปประกอบบนฝั่งผู้ใช้ หากถูกโจมตี ผู้ไม่หวังดีสามารถส่ง HTTP Request ที่ถูกปรับแต่งพิเศษเพื่อทำให้ server รันโค้ดที่ไม่พึงประสงค์ได้ทันที (Unauthenticated RCE) โดยไม่ต้องล็อกอินหรือมีสิทธิ์ใด ๆ [2]
ปัจจุบันมีการตรวจพบการโจมตีที่มุ่งเป้าไปยังแอปพลิเคชันที่พัฒนาโดยใช้ React / Next.js โดยสามารถบุกรุกระบบได้แล้วอย่างน้อย 766 โฮสต์
2. ลักษณะการโจมตี
หลังจากเจาะระบบสำเร็จ ผู้โจมตีจะติดตั้งเครื่องมือ (เช่น NEXUS Listener) เพื่อรวบรวมและส่งข้อมูลออกไปยังเซิร์ฟเวอร์ควบคุม (C2) โดยอัตโนมัติ
ข้อมูลที่ถูกขโมย ได้แก่:
• รหัสผ่านและ Credential ต่าง ๆ
• SSH Private Keys
• API Keys (เช่น AWS, Stripe, GitHub)
• Token ของระบบ Cloud (AWS, GCP, Azure)
• ประวัติคำสั่ง (Shell history)
• ข้อมูล Container และ Kubernetes
• Environment variables และการตั้งค่าระบบ
3. ระบบ/ซอฟต์แวร์ที่ได้รับผลกระทบ
• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack
เวอร์ชัน 19.0.0 / 19.1.0 / 19.1.1 / 19.2.0 (รวมถึง Framework ที่ใช้ RSC)
4. แนวทางการป้องกันและแก้ไข
4.1 อัปเดต React เป็นเวอร์ชันที่แก้ไขแล้ว
4.2 ตรวจสอบระบบ เช่น ตรวจสอบว่ามีการใช้งาน React / Next.js ที่ได้รับผลกระทบหรือไม่ รวมถึงตรวจสอบ Log การเข้าถึงผิดปกติ และพฤติกรรม RCE
4.3 จัดการข้อมูล Credentials เช่น การเปลี่ยนรหัสผ่าน / API Keys / Token ทั้งหมดทันที หากสงสัยว่าถูกโจมตี
5. คำแนะนำด้านความปลอดภัยเพิ่มเติม
5.1 เฝ้าระวังการเชื่อมต่อขาออก (Outbound traffic) ที่ผิดปกติ
5.2 ตรวจสอบไฟล์หรือโปรเซสที่ไม่รู้จักในระบบ
5.3 จัดทำ Incident Response Plan เพื่อรองรับในกรณีถูกโจมตี
5.4 อัปเดต Threat Intelligence อย่างต่อเนื่อง
แหล่งอ้างอิง