Sebagai salah satu pustaka JavaScript paling populer di dunia, React tidak hanya mendominasi pengembangan antarmuka pengguna, tetapi juga memperluas jangkauannya ke server-side rendering dengan React Server Components (RSC). Namun, pada awal Desember 2025, sebuah kerentanan kritis—dikenal sebagai React2Shell (CVE-2025-55182)—mengguncang ekosistem. Kerentanan ini memungkinkan Remote Code Execution (RCE) tanpa autentikasi, memberikan peluang bagi penyerang untuk mengambil alih server dengan hanya mengirimkan permintaan HTTP yang dirancang khusus.
Imperva, melalui tim Threat Research, memantau dampak nyata dari kerentanan ini di dunia maya. Dalam laporan mereka berjudul Chain Reaction: Attack Campaign Activity in the Aftermath of React Server Components Vulnerability, terlihat bahwa dalam satu minggu pertama setelah pengungkapan, jutaan permintaan dan kampanye berbahaya yang memanfaatkan celah tersebut telah merebak di seluruh dunia.
Kerentanan React2Shell dan Dampaknya
Kerentanan React2Shell terjadi karena ketidaksempurnaan proses deserialisasi di RSC Flight Protocol, di mana data pengguna yang dikontrol secara eksternal diproses tanpa validasi yang memadai, membuka pintu bagi penyerang untuk mengeksekusi kode arbitrer di server aplikasi. Kerentanan ini berdampak pada paket RSC yang banyak digunakan di berbagai framework seperti Next.js, Remix, dan backend yang berorientasi komponen.
Karena kerentanan ini tidak memerlukan autentikasi dan hanya bergantung pada default configuration, puluhan ribu aplikasi web internet-facing menjadi sasaran empuk. Itu sebabnya saat kerentanan ini diumumkan secara publik pada awal Desember 2025, banyak tim keamanan bereaksi cepat untuk mengeluarkan patch dan mitigasi Web Application Firewall (WAF) untuk menutup celah ini.
Reaksi Penyerang di Dunia Nyata
Imperva mencatat lebih dari 127 juta permintaan terkait React2Shell yang tercatat dalam sensor mereka. Permintaan ini tampil dalam bentuk probes otomatis dan upaya eksploitasi yang mencoba menemukan dan menyerang situs dengan konfigurasi rentan. Aktivitas ini tersebar di lebih dari 87.000 situs di 128 negara dalam minggu pertama setelah kerentanan diumumkan.
Negara seperti Amerika Serikat dan Singapura menjadi yang paling sering terkena, sedangkan sektor pendidikan dan layanan keuangan menjadi target utama di antara berbagai industri yang dipantau.
Analisa Imperva menunjukkan bahwa meskipun banyak proof-of-concept (PoC) yang beredar setelah pengungkapan awal adalah tidak valid atau salah sasaran, bot-bot dan kampanye otomatis tetap menghasilkan volume trafik yang sangat tinggi. Banyak pula payloads yang disusun oleh alat-alat otomatis atau berbasis AI, yang memperbesar kebingungan antara upaya valid dan palsu, sehingga mempersulit tim keamanan yang mencoba membedakan ancaman nyata dari “noise”.
Jenis-Jenis Kampanye Eksploitasi yang Diamati
Tim Imperva berhasil mengidentifikasi beberapa kampanye aktif yang memanfaatkan React2Shell sebagai pintu masuk ke server korban, termasuk namun tidak terbatas pada:
-
Linux Remote Access Trojan (RAT) – Malware jenis ini diunduh dan dijalankan di server korban, lalu membuka reverse shell guna menjalankan perintah lebih lanjut dari server komando & kontrol (C2).
-
XNote RAT – Softaware RAT yang terlihat menargetkan situs keuangan di Hong Kong, kemungkinan dikembangkan oleh aktor yang terkait dengan grup serangan ChinaZ.
-
SnowLight Dropper – Program pencetus yang dipakai untuk mengunduh dan menjalankan lebih banyak paket malware, termasuk VShell Remote Access Trojan yang dikenal mampu mempertahankan akses lanjutan.
-
ReactOnMyNuts (Botnet & Cryptominer) – Kampanye ini menjalankan skrip satu baris yang mengunduh dan menyebarkan botnet serta penambang cryptocurrency seperti Mirai dan XMRig.
-
Runnv Cryptojacking – Skrip dropper yang mengunduh dan menjalankan beberapa skrip bash sebagai bagian dari kampanye penambangan mata uang kripto.
Semua kampanye ini menunjukkan bagaimana kerentanan RCE tunggal dapat berujung pada berbagai tipe aktivitas berbahaya, termasuk pengambilalihan server, pencurian data, eksekusi perintah tidak sah, dan penggenangan server dengan komputasi berat untuk keuntungan finansial aktor jahat.
Tantangan Deteksi di Tengah Noise PoC
Salah satu fenomena yang ikut memperparah situasi adalah banjir PoC palsu atau salah sasaran yang beredar setelah publikasi kerentanan. Banyak tulisan yang diklaim sebagai exploit sebenarnya tidak benar-benar mengeksploitasi RSC Flight Protocol sesuai mekanisme teknik nyata kerentanan tersebut.
Fenomena ini menyebabkan dua tantangan besar bagi tim keamanan:
-
False Positives — Sistem deteksi bisa mencatat upaya yang sebenarnya tidak membahayakan, memakan sumber daya upaya investigasi.
-
Distraksi Operasional — Tim dapat tertarik melakukan mitigasi terhadap pola ancaman yang bukan sebenarnya cara eksploitasi nyata, sehingga memundurkan fokus pada mitigasi yang diperlukan.
Mitigasi dan Tindakan Keamanan yang Direkomendasikan
Sebagai tanggapan terhadap serangan berantai ini, Imperva menekankan pentingnya beberapa langkah mitigasi berikut:
-
Penerapan Patch Segera – Mengupdate React dan paket terkait ke versi yang sudah diperbaiki untuk menutup kerentanan RCE.
-
Web Application Firewall (WAF) – Menggunakan WAF untuk memblokir pola eksploitasi umum dan trafik berbahaya sebelum mencapai aplikasi backend.
-
Monitoring dan Deteksi Trafik Berbahaya – Melacak pola permintaan abnormal yang sering menjadi indikator awal serangan eksploitasi.
-
Inventarisasi Aset Aplikasi – Mengetahui dengan tepat aplikasi mana yang menggunakan RSC dan versi apa saja merupakan langkah penting untuk memahami cakupan risiko.
Kesimpulan
Kasus React2Shell memperlihatkan bagaimana kerentanan di komponen populer seperti React Server Components bukan hanya dianggap sebagai isu teoretis, tetapi bisa langsung menjadi pintu masuk bagi kampanye otomatis besar-besaran di dunia maya. Observasi Imperva atas 127 juta permintaan dan berbagai kampanye malware setelah pengungkapan menunjukkan bahwa organisasi harus memandang keamanan aplikasi modern secara serius — termasuk dalam konteks komponen umum yang sering dianggap “aman”.
Pentingnya update, penggunaan WAF, pemantauan aktif, dan kesiapan tim keamanan menjadi langkah-langkah yang tak terelakkan untuk bertahan dari reaksi berantai serangan seperti ini.
📊 Tabel Pendukung – Ringkasan Serangan setelah Kerentanan React2Shell
| Aspek | Detail |
|---|---|
| Kerentanan | React2Shell (CVE-2025-55182): Remote Code Execution di React Server Components |
| Jumlah Permintaan Tercatat | >127 juta permintaan berbahaya di seluruh dunia |
| Negara Sasaran Teratas | AS, Singapura |
| Industri Terdampak | Pendidikan, Layanan Keuangan |
| Jenis Kampanye Eksploitasi | Linux RAT, XNote RAT, SnowLight, Botnet & Cryptominer, Runnv Cryptojacking |
| Tantangan Keamanan | Flood PoC palsu, noise eksploitasi |
| Mitigasi Utama | Patch cepat, WAF, monitoring trafik, inventarisasi aplikasi |
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut !
