Vulnerabilitas React2Shell (CVE-2025-55182) Dapat Dieksploitasi untuk Eksekusi Kode Jarak Jauh

Pada 3 Desember 2025, sebuah celah keamanan serius ditemukan pada React Server Components yang dapat dieksploitasi untuk melakukan eksekusi kode jarak jauh. Celah ini, yang diberi nama React2Shell (CVE-2025-55182), telah memengaruhi banyak versi React, termasuk versi 19.0.0, 19.1.0, 19.1.1, dan 19.2.0. Celah ini mengancam aplikasi yang menggunakan React Server Components seperti Next.js dan lainnya, yang mengandalkan logika deserialisasi data dari klien ke server.

Mengapa React2Shell Berbahaya?

Celah ini terjadi karena cara React menangani data yang dikirim dari browser pengguna ke server. Saat server menerima permintaan, React mendeserialisasi data tersebut (mengubahnya menjadi objek internal JavaScript). Namun, proses ini tidak memvalidasi data dengan cukup ketat. Akibatnya, penyerang dapat mengirimkan permintaan yang dibuat secara khusus yang tidak mengikuti format yang diharapkan. Alih-alih menolak data yang salah format, server justru memprosesnya, memungkinkan penyerang mengakses dan memanipulasi eksekusi kode di dalam aplikasi.

Dampak dari Eksploitasi React2Shell:

1. Eksekusi Kode Jarak Jauh: Penyerang dapat mengambil alih server dan menjalankan JavaScript seolah-olah aplikasi yang sah melakukannya. Hal ini memberikan penyerang akses penuh ke server, memungkinkan mereka untuk mengakses data sensitif, mengubah perilaku aplikasi, atau bahkan mengambil alih server sepenuhnya.

2. Tanpa Kredensial Pengguna: Salah satu aspek yang mengkhawatirkan adalah bahwa penyerang tidak memerlukan kredensial pengguna atau autentikasi apa pun untuk mengeksploitasi celah ini. Penyerang hanya membutuhkan akses jaringan ke endpoint aplikasi yang rentan.

3. Skala Besar: Penelitian yang dilakukan oleh ShadowServer Foundation menemukan lebih dari 165.000 alamat IP yang rentan dan 644.000 domain yang terpengaruh, menunjukkan bahwa potensi dampaknya sangat besar.

Aktivitas Pasca-Eksploitasi yang Terobservasi:

Setelah celah React2Shell berhasil dieksploitasi, para penyerang telah mengubah sistem dan menjalankan berbagai aktivitas berbahaya:

1. Penanaman Malware di Linux: Penyerang telah menggunakan loaders Linux untuk mengunduh dan menjalankan skrip atau binary yang menyembunyikan keberadaan malware. Malware ini bertindak sebagai pintu masuk permanen untuk mendapatkan akses berkelanjutan ke server.

2. Penyembunyian Jejak: Skrip-skrip tersebut menggunakan teknik seperti systemd, cron, dan rc.local untuk mempertahankan akses, bahkan setelah server dimulai ulang atau proses dihentikan.

3. Pencurian Data dan Aktivitas C2: Penyerang memanfaatkan infrastruktur cloud publik dan server command-and-control (C2) untuk melakukan pencurian data dan mengirimkan telemetri ke server eksternal. Ini juga terlihat dalam perilaku seperti penggunaan Canarytoken dan webhook untuk memantau keberhasilan serangan.

Penyerang yang Terkait:

Eksploitasi dari celah React2Shell telah dikaitkan dengan berbagai kelompok ancaman negara. Para peneliti mengidentifikasi adanya infrastruktur yang terkait dengan kelompok asal Tiongkok, seperti Earth Lumia dan Jackpot Panda. Selain itu, ada indikasi bahwa kelompok yang terkait dengan Korea Utara juga memanfaatkan celah ini untuk menyebarkan malware EtherRAT, yang telah teridentifikasi dalam beberapa serangan.

Namun, mengingat bahwa kode bukti-konsep (PoC) eksploitasi telah dipublikasikan, diperkirakan bahwa celah ini akan segera dieksploitasi oleh kriminal siber opportunistik yang mencari kredensial atau mencoba menginstal cryptominers pada sistem yang terpengaruh.

Langkah-Langkah yang Dapat Diambil:

1. Patch Segera: Organisasi yang menjalankan infrastruktur React yang dapat diakses melalui internet harus segera memprioritaskan pembaruan untuk CVE-2025-55182. Tanpa perbaikan ini, risiko eksploitasi akan sangat tinggi.

2. Pemantauan dan Deteksi: Gunakan indikator indikator komando dan kontrol (C2) yang tercatat dalam penelitian untuk mendeteksi adanya aktivitas mencurigakan di dalam sistem yang terpengaruh.

3. Peningkatan Keamanan Infrastruktur: Selain pembaruan keamanan, penting bagi organisasi untuk memperketat kontrol akses dan membatasi akses ke endpoint React yang rentan.

Mengapa Patching Sangat Penting?

Celakanya, banyak aplikasi yang menggunakan React Server Components secara tidak langsung terpengaruh oleh celah ini, termasuk aplikasi yang dibangun dengan Next.js. Tanpa tindakan yang cepat, penyerang dapat memanfaatkan celah ini untuk mengekspos seluruh aplikasi dan sistem yang terhubung ke server. Dampak dari kegagalan mengatasi masalah ini bisa sangat besar, mulai dari pencurian data hingga pengambilalihan sistem yang dapat merusak integritas operasional perusahaan.

Untuk itu, jika Anda menggunakan React dalam pengembangan aplikasi Anda, pastikan untuk memperbarui ke versi terbaru yang telah mengatasi masalah ini. Jangan menunggu lebih lama lagi, karena ancaman ini sudah mulai digunakan oleh pihak yang tidak bertanggung jawab.

Kesimpulan:

Celah React2Shell (CVE-2025-55182) adalah kerentanannya yang sangat serius bagi aplikasi berbasis React, dengan potensi untuk merusak keseluruhan sistem. Exploitasi yang cepat dan luas dapat menyebabkan kebocoran data, perubahan perilaku aplikasi, hingga pengambilalihan server. Oleh karena itu, penting bagi setiap organisasi yang mengandalkan React atau Next.js untuk segera memperbarui sistem mereka dan memitigasi risiko yang ada.

Jangan tunggu sampai serangan terjadi pada Anda. Segera ambil langkah-langkah yang diperlukan untuk melindungi sistem Anda dari eksploitasi celah ini, dan pastikan Anda tidak menjadi korban dari ancaman yang semakin berkembang.

 Ingin Melindungi Jaringan Anda dengan Teknologi Keamanan Terkini?

Sophos hadir untuk membantu Anda menjaga keamanan jaringan dengan solusi yang canggih dan terpercaya. Dengan teknologi terbaru dari Sophos, Anda dapat melindungi sistem Anda dari berbagai ancaman, memastikan bahwa data dan aplikasi perusahaan Anda tetap aman.

• Hubungi kami di Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan yang tepat untuk kebutuhan Anda, atau
• Konsultasikan dengan tim ahli kami di PT. iLogo Infralogy Indonesia. Kami siap memberikan dukungan penuh dalam merancang dan mengimplementasikan solusi keamanan yang paling efektif untuk perusahaan Anda.

Dengan Sophos, kami memastikan sistem Anda selalu aman dan tangguh, siap menghadapi berbagai ancaman yang terus berkembang. Hubungi kami sekarang dan buat langkah pertama menuju perlindungan siber yang lebih kuat!