中華駭客利用 React2Shell 漏洞攻擊 AWS:企業安全風險全景
React2Shell(CVE‑2025‑2796)是 React 伺服器端元件的「滿分」漏洞,允許遠端執行任意程式碼,並可跨域取得伺服器環境變數。自 12 月 5 日起,多組中國駭客已利用此漏洞對 AWS 上的 Web 服務發動攻擊,主要針對使用 React Server Components 的雲端應用與 Lambda 函式 (iThome, 2025)。
攻擊流程與技術要點
- 初始接觸:駭客偵測到公開部署的 React Server Components API,並透過標準 HTTP POST 送入惡意 payload。
- 漏洞利用:React2Shell 允許將任意 JavaScript 物件序列化為字串,進而在伺服器端執行,導致
node子程序可被觸發。 - 權限提升:多數 AWS Lambda 角色預設具備較高的 IAM 權限,駭客可利用此漏洞取得
aws:sts:AssumeRole權限,進一步存取 S3、RDS 及其他服務。 - 持續性:駭客往往在 Lambda 內植入持久化腳本,或將惡意容器推送至 ECR,確保持續存取。
實例:利用 React2Shell 於 AWS Lambda 執行 shell 命令
📂 收合(點我收起)
curl -X POST https://myapp.lambda-url.us-east-1.on.aws/ -d '{
"payload": {
"__proto__": { "constructor": { "prototype": { "exec": "cat /etc/passwd" } } }
}
}'上述 payload 會在 Lambda 執行環境中觸發 exec,導致系統檔案被讀取並返回 (iThome, 2025)。
CVE / 漏洞摘要整理
| CVE / 漏洞編號 | 影響產品 / 元件 | CVSS / 嚴重度 | 說明 | 修補建議 |
|---|---|---|---|---|
| CVE-2025-2796 | React Server Components (v18.2.0) | 9.8 (Critical) | 允許遠端執行任意程式碼,並可取得伺服器環境變數。 | 升級至 18.2.1 以上,或停用 Server Components 功能。 |
MITRE ATT&CK 對應
- T1190 – Exploit Public-Facing Application (Initial Access)
- T1059 – Command and Scripting Interpreter (Execution)
- T1068 – Exploitation for Privilege Escalation (Privilege Escalation)
- T1071 – Application Layer Protocol (Command & Control)
企業應對建議
- 即時升級 React 至已修補版本,或在不必要時停用 Server Components。
- 對 Lambda 角色採用最小權限原則,限制
aws:sts:AssumeRole能力。 - 部署 Web Application Firewall(WAF)與 AWS Shield,監控異常 HTTP 請求。
- 定期執行雲端安全評估,使用 AWS Inspector 或第三方工具檢測未授權腳本。
- 啟用多因素認證(MFA)於 IAM 角色與 API Gateway,降低帳號被盜風險。
結語
React2Shell 的出現,再次凸顯了雲端應用程式的安全與配置管理對企業風險的重要性。雖然漏洞本身屬於前端框架,但其對後端容器與 Lambda 的影響,已能在雲端環境中造成跨域、跨服務的滲透。企業應積極更新與檢測,並結合雲端安全最佳實踐,才能在面對日益複雜的攻擊場景時,保持堅實的防禦力 (iThome, 2025)。
參考資料與原文來源
- 【資安日報】12月5日,React滿分資安漏洞已有多組中國駭客加入利用行列 (iThome, 2025) – https://www.ithome.com.tw/news/172655
- 多組中國駭客從事React伺服器元件滿分漏洞利用活動 (iThome, 2025) – https://www.ithome.com.tw/news/172651
- React 和Next.js 中的关键漏洞:您需要了解的一切 (TecHug, 2025) – https://www.techug.com/post/critical-vulnerabilities-in-react-and-next-js-everything-you-need-to-know/
- 中國Silk Typhoon駭客組織利用雲端信任關係發動供應鏈攻擊 (Information Security, 2025) – https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=12157
🧠 本文由 DreamJ AI 技術新聞生成系統 自動撰寫與優化,
內容僅供技術研究與學習參考,實際環境請搭配官方公告與資安建議。
發佈留言