中華駭客利用 React2Shell 漏洞攻擊 AWS:企業安全風險全景
React Server Components (RSC) 於 2025 年爆發的關鍵漏洞 React2Shell(CVE-2025-55182),已被官方評定為 Critical(滿分級),並直接影響使用 React RSC 的企業級 Web 應用、API 服務與 Serverless 架構。
漏洞本質屬於 不安全反序列化(unsafe deserialization),攻擊者可透過特製的 HTTP 請求,使 React RSC 在後端執行未預期的 JavaScript 程式碼(RCE)。此議題已導致多個企業平台啟動緊急修補程序,並且已觀察到全球多處駭客組織開始掃描相關服務。
雖然目前尚無公開證據顯示成功大規模入侵 AWS 核心服務,但 攻擊嘗試已被多家安全監控廠商觀測到,代表企業必須立即採取防護措施。
一、漏洞成因與技術背景
React2Shell 的主要風險源自 React Server Components 在處理 RSC payload 時:
-
將外部輸入的資料進行反序列化(decode)
-
在特定版本中未完整檢查結構
-
可能導致攻擊者構造物件,使後端執行非預期邏輯
受影響版本含:
-
React RSC v19.0.0
-
React RSC v19.1.0
-
React RSC v19.2.0
-
Next.js 相關 RSC 實作(對應 CVE-2025-66478)
官方均已發布緊急修補程式。
二、攻擊鏈可能走向(企業威脅情境)
以下是一般企業在雲端與 Serverless 架構中,可能遭遇的攻擊場景。
(※ 以下皆為「若環境配置不當」可能發生的情境,而非漏洞本身保證能力。)
1. 初始入侵:攻擊者對外公開 API 注入惡意 payload
攻擊者通常會針對使用:
-
React RSC API Route
-
Next.js App Router
-
Serverless Function(如 AWS Lambda URL)
發送惡意 POST 請求。
2. 在後端執行未授權 JavaScript 程式碼
成功利用時,攻擊者可:
-
執行 JavaScript 程式邏輯
-
操作處理中資料
-
讀取部分伺服器端執行環境資訊(取決於應用程式暴露程度)
3. 若雲端 IAM 權限配置過度寬鬆 → 進一步擴散
假設 Serverless / API 後端存在下列錯誤配置:
-
Lambda Role 擁有過大 IAM 權限
-
無執行環境隔離
-
憑證或環境變數暴露
攻擊者可能利用後端邏輯,進行:
-
取得更多雲端 API 存取權限
-
操作資料庫(RDS / DynamoDB)
-
存取機密儲存區(S3)
-
執行橫向移動
4. 持續性威脅(Persistence)
在設定不當的雲端環境中,攻擊者可能:
-
上傳惡意檔案至 S3 或 ECR
-
植入惡意 job
-
竄改設定以建立長期管道
三、常見攻擊示例(RSC Payload 測試示意)
※ 以下展示常見概念範例,非實際漏洞 PoC。
官方聲明目前「尚未公開預設環境下可直接取得 OS shell 的可重現 PoC」。
POST /api/rsc HTTP/1.1
{
"payload": {
"malicious": "crafted object …"
}
}
攻擊重點不在指令本身,而是 RSC 在解碼物件時的行為可能導致後端執行非預期邏輯。
四、CVE 摘要(企業版快速檢視表)
| CVE | 影響元件 | 嚴重度 | 描述 | 修補方式 |
|---|---|---|---|---|
| CVE-2025-55182 | React Server Components | Critical (10.0) | 反序列化導致任意 JavaScript 程式碼執行 | 升級至修補版本、避免處理未信任 RSC payload |
| CVE-2025-66478 | Next.js RSC 實作 | High | RSC 解碼異常 | 升級 Next.js 最新版本 |
五、MITRE ATT&CK 映射(企業藍隊參考)
| 階段 | 技術編號 | 說明 |
|---|---|---|
| 初始入侵 | T1190 | 利用公開 Web 應用程式弱點 |
| 執行 | T1059 | 執行非預期後端程式碼 |
| 權限提升 | T1068 | 若 IAM/雲端配置不當,可能擴大權限 |
| C2 通訊 | T1071 | 攻擊者可透過 HTTP 進行控制 |
六、企業 IT / CISO 應立即採取的防禦措施
1. 立即更新 React / Next.js 至修補版本
- React:升級至官方已修補版本
- Next.js:升級以修補 CVE-2025-66478
2. 強化雲端最小權限(Least Privilege)政策
特別是:
- Lambda Role
- ECS / ECR 任務 Role
- API Gateway 執行角色
避免出現:
- AdministratorAccess
- wildcard
*:* - 過度開放的 AssumeRole
3. WAF / API Gateway 防護規則更新
建議啟用:
- RSC payload 檢測規則
- 異常 JSON/結構化輸入警示
- 高頻 POST 行為監控
4. 實施執行環境隔離(Runtime Isolation)
包含:
- 一 API 一 Function
- 限制讀取 env 的權限
- 不將憑證放在 RSC 可存取範圍
5. 啟動雲端環境威脅偵測
適用工具:
- AWS GuardDuty
- AWS Inspector
- CloudTrail Insights
- 第三方 CSPM(如 Wiz、Prisma Cloud)
6. 建立事故處理流程(IR Playbook)
包含:
- 偵測與封鎖惡意請求
- 快速回滾部署版本
- IAM Key 重新派發
- Lambda / API Gateway 設定重建
七、總結:React2Shell 不是前端漏洞,而是完整的雲端供應鏈風險
React2Shell 再次提醒企業:
前端框架一旦跨入伺服器端執行,漏洞就不再是前端問題,而是雲端供應鏈風險。
如果企業使用:
- Serverless(Lambda、Cloud Functions)
- React RSC / Next.js App Router
- API 驅動微服務架構
- CI/CD 自動部署流程
就必須立即:
- 檢視版本
- 審查 IAM
- 啟用 WAF
- 實施 Zero Trust
- 加強程式碼安全治理(SAST / SCA)
企業防禦能力決定了攻擊鏈能否被阻斷,而非單純仰賴框架本身。
八、參考來源
- React 官方:Critical Security Vulnerability in React Server Components
- Next.js 官方:Security Advisory for RSC
- Akamai:CVE-2025-55182 技術分析
- Tenable:React2Shell FAQ
- iThome:資安日報與攻擊觀察分析
發佈留言