Pendahuluan: Kerentanan Kritis Mengubah Lanskap Ancaman Siber
Awal Desember 2025 menjadi titik penting sekaligus berbahaya bagi pengembang aplikasi web modern. Sebuah kerentanan tingkat kritikal CVE-2025-55182, yang kemudian dikenal sebagai React2Shell, ditemukan dalam React Server Components (RSC) — fitur populer di React yang memungkinkan server-side rendering dan Server Function endpoints. Kerentanan ini menjadi Remote Code Execution (RCE) tanpa autentikasi, hanya dengan permintaan HTTP crafted, memberikan peluang bagi penyerang untuk mengambil alih aplikasi server yang rentan.
Kerentanan ini menimbulkan reaksi domino: setelah pengumuman patch dan peringatan keamanan, aktor jahat dan bot otomatis segera melakukan pencarian dan eksploitasi skala besar. Temuan oleh tim Imperva Threat Research menunjukkan bahwa dalam kurang dari seminggu, lebih dari 127 juta permintaan berbahaya yang terkait dengan eksploitasi React2Shell telah muncul di seluruh dunia, menargetkan puluhan ribu situs dengan traffic bot yang nyata.
1. Apa Itu React2Shell dan Mengapa Serius?
Kerentanan React2Shell muncul karena adanya unsafe deserialization — sebuah kondisi di mana data yang dikirimkan klien tidak divalidasi dengan benar sebelum diproses di sisi server melalui RSC Flight Protocol. Ini membuka kemungkinan bagi penyerang untuk inject kode berbahaya yang kemudian dieksekusi oleh aplikasi server.
Karena kelemahan ini dapat dimanfaatkan tanpa autentikasi dan bergantung pada konfigurasi default, puluhan ribu aplikasi web yang menggunakan paket RSC seperti react-server-dom-webpack, react-server-dom-parcel, atau react-server-dom-turbopack menjadi sasaran empuk. Termasuk juga aplikasi Next.js yang banyak dipakai oleh industri.
Akibatnya, setelah pengumuman kerentanan, penyerang dapat langsung melancarkan serangan — tanpa hambatan — terhadap server yang masih rentan, menyebabkan eksekusi kode jarak jauh, hingga hal yang lebih berbahaya seperti pengambilalihan server.
2. Aktivitas Eksploitasi dan Reaksi Bot di Dunia Nyata
Menurut data Imperva, kampanye eksploitasi berlangsung cepat setelah pengungkapan React2Shell. Dalam seminggu pertama, aktivitas berbahaya ini terdeteksi pada:
-
127 juta permintaan probe & eksploitasi
-
Lebih dari 87.000 situs
-
Terdistribusi di 128 negara
-
Target utama termasuk Amerika Serikat dan Singapura
-
Industri paling terdampak: pendidikan & jasa keuangan
Lonjakan traffic tersebut menunjukkan bahwa otomasi bot eksploitasi jauh lebih cepat bergerak daripada respons manusia. Scan ini tidak hanya mencoba mendeteksi situs rentan, tetapi juga mengirim payload berbahaya yang dirancang untuk memanfaatkan celah deserialisasi.
3. Jenis-Jenis Kampanye Eksploitasi yang Diamati
Imperva berhasil mengidentifikasi beberapa kampanye berbahaya yang memanfaatkan React2Shell sebagai pintu masuk utama ke server yang rentan. Kampanye ini memiliki karakteristik dan tujuan berbeda:
1) Linux Remote Access Trojan (RAT)
Server yang dieksploitasi menjadi target mengunduh dan menjalankan RAT Linux yang memberikan pelaku kendali penuh, termasuk membuka reverse shell dan perintah jarak jauh.
2) XNote RAT (Target Keuangan)
RAT ini fokus pada sektor jasa keuangan di Hong Kong, kemungkinan dikaitkan dengan aktor berpengalaman di dunia maya.
3) SnowLight Dropper
Program dropper yang memasang payload lebih lanjut seperti VShell RAT, memberikan persistence dan akses lanjutan.
4) ReactOnMyNuts — Botnet & Cryptominer Spreader
Skrip unik ini mengunduh malware botnet serta cryptominer seperti Mirai dan XMRig, menunjukkan tujuan monetisasi dari eksploitasi.
5) Runnv Cryptojacking Campaign
Skrip bawaan yang diunduh oleh server yang rentan memulai cryptojacking — memanfaatkan sumber daya server untuk menambang cryptocurrency seperti Monero. Pendapatan harian yang teramati bisa sekitar USD 170 per server, yang ketika dilipatgandakan di ratusan server menjadi cukup signifikan.
4. Tantangan Deteksi di Tengah Banjir PoC dan Noise
Tidak hanya eksploitasi langsung, fenomena unik yang kini dihadapi tim keamanan adalah banjir Proof-of-Concept (PoC) eksploitasi yang dihasilkan oleh AI dan disebarkan secara publik. Banyak PoC tersebut sebenarnya tidak valid atau diasumsikan secara teknis keliru, sehingga:
-
False positives meningkat — sistem deteksi memicu alarm untuk eksploitasi yang sebenarnya tidak sah.
-
Distraksi operasional — tim keamanan terdorong merespons pola ancaman yang salah, padahal ancaman nyata tetap berjalan.
-
Beban investigasi meningkat karena sulit membedakan antara exploit nyata dan PoC berbahaya palsu.
Situasi ini memperlihatkan bahwa ancaman masa kini bukan hanya datang dari serangan langsung, tetapi juga dari noise berbahaya yang dihasilkan komunitas online atau alat otomatis.
5. Mitigasi dan Langkah Keamanan yang Direkomendasikan
Menghadapi reaksi berantai serangan seperti React2Shell, Imperva menekankan beberapa langkah mitigasi yang krusial dan wajib bagi tim keamanan:
1) Segera Terapkan Patch
Update semua paket React dan framework terkait ke versi yang telah diperbaiki seperti React 19.0.1, 19.1.2, atau 19.2.1 serta versi Next.js terbaru agar celah deserialisasi tertutup.
2) Gunakan Web Application Firewall (WAF)
WAF dengan signature terbaru untuk deteksi & blok eksploitasi umum (mis. pola HTTP yang mencurigakan) dapat membantu memfilter serangan sebelum mencapai aplikasi backend.
3) Monitoring Trafik Abnormal
Pantau pola permintaan yang tidak wajar, terutama yang berulang atau mirip bot, karena ini sering menjadi indikator awal serangan eskalasi.
4) Inventarisasi Aset Aplikasi
Kenali aplikasi mana yang menggunakan React Server Components, versi yang digunakan, dan lokasi server manapun untuk mengukur cakupan risiko dan prioritas patch.
📊 Tabel Ringkasan Kampanye Eksploitasi React2Shell
| Jenis Kampanye | Deskripsi Utama | Dampak / Target |
|---|---|---|
| Linux RAT | Remote Access Trojan memberikan kontrol server | Telecom/Business/FinServ |
| XNote RAT | RAT terfokus di sektor keuangan | Financial Services (Hong Kong) |
| SnowLight Dropper | Dropper untuk payload lanjutan & RAT | Edukasi/ NGO / Bisnis |
| ReactOnMyNuts | Botnet dan Cryptominer (Mirai & XMRig) | Healthcare/IT/Retail |
| Runnv Cryptojacking | Cryptojacking dari server terinfeksi | Bisnis & layanan |
Kesimpulan: Belajar dari Reaksi Berantai Eksploitasi
Kasus React2Shell menunjukkan bahwa sebuah security flaw pada komponen populer seperti React Server Components dapat berubah dari ancaman teoretis menjadi real-world exploitation hanya dalam hitungan jam setelah pengumuman publik.
Dengan lebih dari 127 juta permintaan eksploitasi di seluruh dunia, aktivitas kampanye menjalankan RAT, botnet, dan cryptojacking memperlihatkan betapa cepatnya ancaman ini dimonetisasi dan dieksploitasi oleh berbagai aktor.
Situasi ini menjadi peringatan bagi setiap tim TI dan keamanan aplikasi untuk tidak meremehkan kerentanan dalam library populer, serta menekankan pentingnya patching cepat, proteksi WAF, serta monitoring aktif untuk dapat bertahan dari reaksi berantai ancaman seperti ini.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut !
