Dampak dari React2Shell, sebuah kerentanan membandel dengan tingkat keparahan maksimum yang memengaruhi sebagian besar fondasi internet, terus menyebar. Eksploitasi publik dan pintu belakang tersembunyi (stealth backdoors) semakin marak, diiringi dengan munculnya detail mengkhawatirkan mengenai target-target sensitif yang kini menjadi incaran para penyerang. Para peneliti ancaman siber dan tim respons insiden bereaksi terhadap perkembangan pesat React2Shell dengan kekhawatiran yang meningkat. Kelompok kejahatan siber, geng ransomware, dan kelompok ancaman yang disponsori negara (nation-state threat groups) semuanya berbondong-bondong mengeksploitasi kerentanan ini, yang secara publik diungkapkan oleh Meta dan tim React pada 3 Desember lalu dengan identifikasi CVE-2025-55182.

Skala kompromi akibat React2Shell semakin jelas terlihat. Unit 42 dari Palo Alto Networks melaporkan bahwa lebih dari 60 organisasi telah terdampak oleh serangan yang melibatkan eksploitasi CVE-2025-55182. Sementara itu, Microsoft menemukan “beberapa ratus mesin di berbagai organisasi” yang telah berhasil dikompromikan melalui eksploitasi yang menghasilkan eksekusi kode jarak jauh (remote-code execution). Aktivitas pasca-eksploitasi dalam serangan-serangan tersebut mencakup penanaman reverse shell, pergerakan lateral dalam jaringan, pencurian data, dan langkah-langkah yang memungkinkan penyerang mempertahankan akses ke jaringan yang ditargetkan, demikian diungkapkan Microsoft dalam blog penelitian mereka.

Cakupan penuh minat penyerang terhadap kerentanan ini diperbesar oleh jumlah eksploitasi publik yang belum pernah terjadi sebelumnya, menggarisbawahi kemudahan relatif dan berbagai cara penyerang tanpa otentikasi dapat memicu cacat ini untuk meningkatkan hak akses dan bermanuver ke bagian lain dari jaringan yang ditargetkan. VulnCheck mengonfirmasi hampir 200 eksploitasi publik yang valid untuk React2Shell hingga Kamis lalu. Caitlin Condon, Wakil Presiden Penelitian di VulnCheck, menyatakan bahwa “React2Shell CVE-2025-55182 kini memiliki jumlah eksploitasi publik terverifikasi tertinggi dari CVE mana pun.” Upaya pembersihan yang sedang berlangsung untuk React2Shell juga menyebabkan penemuan tiga cacat baru yang memengaruhi React Server Components minggu lalu, termasuk CVE-2025-55183 dan CVE-2025-67779, yang memperbaiki bypass untuk CVE-2025-55184. Meskipun demikian, kekhawatiran terbesar saat ini adalah kemungkinan munculnya bypass patch yang sebenarnya untuk CVE-2025-55182, meskipun hal ini belum terjadi. Para peneliti terus mendesak organisasi untuk menerapkan patch CVE-2025-55182, namun perlu dicatat bahwa CVE tambahan tidak ditangani dalam beberapa versi awal patch, dan patching tidak akan mengusir penyerang yang sudah mendapatkan akses ke sistem.

Serangan dengan berbagai asal dan motivasi terus menyebar secara global. Google Threat Intelligence (GTIG) mengamati penyerang bermotivasi finansial dan setidaknya lima kelompok ancaman spionase Tiongkok mengeksploitasi cacat ini di berbagai wilayah dan industri. GTIG juga mengidentifikasi serangan yang dikaitkan dengan Iran, meskipun tidak memberikan informasi lebih lanjut. Sebelumnya, Amazon menyatakan bahwa tim intelijen ancamannya mengamati upaya eksploitasi aktif oleh Earth Lamia dan Jackpot Panda dalam beberapa jam setelah pengungkapan publik kerentanan tersebut. Perusahaan keamanan siber S-RM melaporkan bahwa mereka menanggapi serangan ransomware pada 5 Desember yang melibatkan eksploitasi React2Shell sebagai vektor akses awal. Penyerang mengeksekusi ransomware Weaxor dalam waktu satu menit setelah mendapatkan akses ke jaringan korban.

Bukti lonjakan aktivitas berbahaya, termasuk upaya eksploitasi, terlihat di seluruh lanskap intelijen ancaman. Cloudflare melaporkan bahwa beberapa kelompok ancaman yang berbasis di Asia sangat teliti dalam menargetkan jaringan di Taiwan, Wilayah Otonomi Xinjiang Uygur, Vietnam, Jepang, dan Selandia Baru. Namun, target selektif lainnya juga diamati, termasuk situs web pemerintah AS, institusi penelitian akademik, dan operator infrastruktur kritis. “Operator infrastruktur ini secara khusus mencakup otoritas nasional yang bertanggung jawab atas impor dan ekspor uranium, logam langka, dan bahan bakar nuklir,” tulis tim intelijen ancaman Cloudflare dalam postingan blog mereka. Beberapa lembaga pemerintah negara bagian dan federal yang berbasis di AS telah menjadi sasaran, namun belum ada eksploitasi yang dikonfirmasi. Blake Darché, kepala intelijen ancaman di Cloudflare, menambahkan bahwa “victimologi kini telah berkembang menjadi universal, dengan target infrastruktur kritis hanya sebagian kecil dari semua organisasi dan industri yang diserang.”

Meskipun kompromi yang berhasil berada di luar visibilitas GreyNoise, aktivitas berbahaya yang terdeteksi oleh sensor mereka terus meningkat. Menurut Andrew Morris, pendiri dan kepala arsitek perusahaan tersebut, “Eksploitasi masih sangat tinggi dengan jumlah jaringan kumulatif yang mengeksploitasi kerentanan ini mencapai rekor tertinggi hampir setiap hari sejak pengungkapan.” React2Shell telah memicu kekhawatiran luas dalam dua minggu sejak kerentanan pertama kali diungkapkan dalam kerangka kerja aplikasi yang banyak digunakan, dan para peneliti memperkirakan cacat ini akan memiliki dampak jangka panjang. Austin Larsen, analis utama di GTIG, mengatakan bahwa kerentanan kritis ini kemungkinan akan menjadi salah satu cacat paling konsekuensial yang diamati dalam eksploitasi aktif tahun ini. Perdebatan yang awalnya terjadi di beberapa kalangan industri mengenai keseriusan dan dampak yang mungkin terjadi dari cacat ini kini telah berakhir. “Garis waktu eksploitasi menyusut dari minggu menjadi jam,” kata Dan Perez, pemimpin teknologi di GTIG. “Setiap kerentanan baru menghadirkan perlombaan melawan waktu. Setiap menit sistem tetap tidak di-patch adalah menit yang dapat digunakan aktor ancaman untuk keuntungan mereka, yang memberikan organisasi margin kesalahan yang sangat tipis.”

Sumber: cyberscoop.com