Home
Crime

பாதுகாப்பு எச்சரிக்கை React2Shell (CVE-2025-55182) – மிக ஆபத்தான Remote Code Execution (RCE)

Critical security alert: React2Shell (CVE-2025-55182) enables remote code execution in Next.js and React Server Components. Check if your server is co

 

🚨 பாதுகாப்பு எச்சரிக்கை

ஆபத்து நிலை: 🔴 மிக அதிகம் (Critical)
CVE எண்: CVE-2025-55182
வெளியீட்டு தேதி: 03 டிசம்பர் 2025
தாக்குதல் வகை: Remote Code Execution (RCE)


🔍 React2Shell என்றால் என்ன?

React2Shell (CVE-2025-55182) என்பது React Server Components (RSC) பயன்படுத்தப்படும் Next.js செயலிகளில் கண்டறியப்பட்டுள்ள மிகவும் ஆபத்தான பாதுகாப்பு குறைபாடு ஆகும்.

இந்த குறைபாட்டை பயன்படுத்தி:

  • தாக்குபவர் (Hacker)

  • சிறப்பாக வடிவமைக்கப்பட்ட HTTP request அனுப்பி

  • சர்வரில் அனுமதியில்லாமல் code execution செய்ய முடியும்

⚠️ முக்கிய குறிப்பு:
Browser-இல் மட்டும் இயங்கும் React Applications பாதிக்கப்படாது
React code Server-இல் இயங்கினால் மட்டும் இந்த vulnerability செயல்படும்




💥 இந்த தாக்குதல் என்ன செய்ய முடியும்?

React2Shell தாக்குதலின் மூலம்:

  • சர்வரில் arbitrary Linux commands இயக்க முடியும்

  • Persistent malware நிறுவ முடியும்

  • Crypto Miner (xmrig போன்றவை) நிறுவ முடியும்

  • Docker / Container isolation-ஐ bypass செய்ய முடியும்

  • System binaries overwrite செய்ய முடியும்

  • /root/.ssh/authorized_keys-ல் SSH key சேர்த்து backdoor உருவாக்க முடியும்

  • முழு server control (Root Access) பெற முடியும்


📦 பாதிக்கப்படும் Software Versions

🔹 React

  • React 19.0 மற்றும் அதற்கு மேற்பட்ட Versions

  • React Server Components packages

🔹 Next.js

  • 15.x

  • 16.x

  • 14.3.0-canary.77 மற்றும் அதற்கு பிந்தைய canary releases
    (App Router enable செய்யப்பட்டிருந்தால்)

🧠 காரணம்:
இந்த vulnerability React Server Components-இல் உள்ளது
Next.js RSC-ஐ default-ஆக enable செய்வதால் அது பாதிக்கப்படுகிறது


🕵️‍♂️ உங்கள் Server பாதிக்கப்பட்டதா என்பதை எப்படி கண்டறிவது?

உங்கள் Application:

  • Next.js App Router பயன்படுத்தினால்

  • React Server Components enable செய்யப்பட்டிருந்தால்

  • React 19.x பயன்படுத்தி security patch இல்லாமல் இருந்தால்

🚨 உடனடியாக ஆய்வு செய்ய வேண்டும்

கீழ்கண்ட அறிகுறிகள் இருந்தால் மிகுந்த சந்தேகம்:

  • CPU usage திடீரென அதிகரித்தால்

  • top, ps, htop commands வேலை செய்யாவிட்டால்

  • Server அடிக்கடி crash / hang ஆகினால்

  • தெரியாத SSH login entries இருந்தால்


🧠 React2Shell Malware செயல்படும் முறை

இந்த malware பொதுவாக:

  • கீழ்கண்ட system tools-ஐ disable / kill செய்கிறது:

    top, ps, htop, strace, kill, pkill

  • System binaries hijack செய்கிறது:

    /bin/top
/bin/ps

  • Fake binary உருவாக்குகிறது:

    /bin/softirq

  • Kernel thread (ksoftirqd)-ஐ abuse செய்து CPU spike ஏற்படுத்துகிறது

  • scan, monitor, watchdog போன்ற process-களை kill செய்கிறது

  • SSH keys inject செய்து persistent backdoor உருவாக்குகிறது


🔎 Server ஆய்வு செய்வது எப்படி?

1️⃣ தெரியாத Processes கண்டுபிடித்தல்

top, ps நம்ப முடியாததால் மாற்று tool install செய்யவும்:

apt install atop
# அல்லது
yum install atop
# அல்லது
dnf install atop

👉 atop மூலம்:

  • Unknown process names

  • High CPU usage

  • Memory-resident malware processes

2️⃣ சந்தேகமான Binary Files பரிசோதனை

stat /bin/softirq

கவனிக்க வேண்டியவை:

  • File creation time

  • Owner / Group

  • Permission மாற்றங்கள்

3️⃣ Outbound Network Connections பரிசோதனை

netstat -plan

🚨 கவனிக்க:

  • Crypto mining pool IPs

  • Unknown foreign IP addresses

  • Abnormal outbound traffic

4️⃣ SSH Backdoor இருப்பதா என பார்க்க

cat /root/.ssh/authorized_keys

❗ தெரியாத SSH keys இருந்தால் உடனடியாக remove செய்ய வேண்டும்

5️⃣ System Logs ஆய்வு

journalctl -o short-precise --since "2025-12-06" | \
grep -E "rondo|softirq|c3|miner|xmrig|818"


❌ செய்யக்கூடாதவை (மிக முக்கியம்)

/bin/softirq process running நிலையில் delete செய்ய வேண்டாம்
kill, pkill, systemctl stop பயன்படுத்த வேண்டாம்
❌ உடனடியாக server reboot செய்ய வேண்டாம்
top, ps, strace output-ஐ முழுமையாக நம்ப வேண்டாம்

⚠️ Reboot செய்தால் boot-level persistence இருந்தால் malware மீண்டும் செயல்படும்


🛡️ தீர்வு & பாதுகாப்பு நடவடிக்கைகள்

🔴 Server பாதிக்கப்பட்டிருந்தால்

  1. React & Next.js patched versions-க்கு upgrade

  2. Known clean backup-இல் இருந்து restore

  3. அனைத்து passwords, API keys, secrets மாற்றவும்

  4. SSH keys regenerate செய்யவும்

  5. முழுமையான malware & security scan செய்யவும்

🟢 பாதிப்பு இல்லை என்றாலும்

  • உடனடியாக update செய்ய வேண்டும்

  • Server logs மற்றும் network traffic தொடர்ந்து monitor செய்யவும்

  • SSH-க்கு key-only authentication enforce செய்யவும்

✅ இறுதி பரிந்துரை

🔐 இந்த vulnerability தற்போது active-ஆக exploit செய்யப்படுகிறது
எந்த delay-யும் server compromise-க்கு வழிவகுக்கும்


📌 Footer – தொடர்புடைய அதிகாரப்பூர்வ Source / Reference-கள்

  1. CVE Official Record – CVE-2025-55182
    https://www.cve.org/CVERecord?id=CVE-2025-55182

  2. React – Official Security Documentation
    https://react.dev/security

  3. Next.js – Security Advisories
    https://nextjs.org/docs/app/building-your-application/security

  4. MITRE CVE Database
    https://cve.mitre.org

  5. OWASP – Remote Code Execution (RCE) Risks
    https://owasp.org/www-community/attacks/Code_Injection

Cignal.In Welcome to WhatsApp chat
Howdy! How can we help you today?
Type here...