React2Shell 취약점 점검 스캐너 긴급 배포

엔키화이트햇, React2Shell RCE 취약점 점검 스캐너 긴급 배포

1️⃣ React2Shell 취약점, 왜 위험한가?

엔키화이트햇이 React Server Components(RSC) 환경에서 발생하는 원격 코드 실행(RCE) 취약점 CVE-2025-55182, CVE-2025-66478을 점검할 수 있는 React2Shell 취약점 스캐너를 긴급 배포했다.

● React2Shell 주요 위험 요소
- 인증 없이 단 한 번의 HTTP 요청으로 서버에서 임의 코드 실행
- CVSS 10점(최고 위험도)
- 공급망 전체가 영향권 — React·Next.js 프로젝트 전체 재빌드 필요
- 취약점 공개 후 몇 시간 만에 중국 해킹 조직 Earth Lamia, Jackpot Panda의 대규모 공격 시작

이번 취약점은 단순한 구성 실수 수준이 아니라, 웹 개발 생태계 전반에 파급을 미치는 구조적 결함으로 평가된다. 특히 전 세계적으로 Next.js 기반 서비스가 200만 개 이상 존재하며, 상당수가 인터넷에 직접 노출되어 있어 긴급한 대응이 요구된다.

2️⃣ 엔키화이트햇 OFFen 스캐너 긴급 업데이트

엔키화이트햇은 자사 오펜(OFFen) 플랫폼에 React2Shell을 탐지하는 긴급 진단 모듈을 추가하고, 오펜 사용 고객뿐 아니라 비가입 기업까지 무료로 점검할 수 있도록 스캐너를 공개했다.

✔ 제공되는 기능
- ‘안전 스캔 모드’ 기반: 실제 시스템 명령 실행 없이 취약 여부 판단
- 빠른 노출 확인 가능
- 자체 인프라에서도 즉시 스캔 가능

스캐너 접근 주소: https://vuln.offen.im/

3️⃣ React2Shell 점검이 필수인 이유

• 공개 하루 만에 공격 자동화 도구·PoC 다수 유출
• 공격자들은 이미 글로벌 스캐닝을 진행 중
• Next.js SSR 환경은 기본적으로 RSC 의존성이 있어 안전하다고 보기 어려움
• 패치 후 전체 프로젝트를 반드시 재빌드해야 보호됨

특히 국내에서는 React·Next.js 기반 서버가 18만 대 이상 인터넷에 노출된 것으로 분석돼, 이번 취약점이 한국 기업·기관에도 직접적인 영향을 미칠 가능성이 매우 높다.

4️⃣ React2Shell 스캐너 사용 방법

1) 웹 기반 스캐너 사용 (가장 간단)
- 접속: https://vuln.offen.im/
- 점검할 URL 입력
- ‘SCAN’ 버튼 클릭
- 취약한 경우 즉시 알림 출력

2) 자체 서버에서 CLI 방식(엔키화이트햇 제공 버전 기준)
- 스캐너 파일 다운로드
- 다음 명령 실행
./react2shell_scanner --target https://example.com
- 실제 코드 실행 없이 안전 모드로 탐지 수행

3) 점검 후 조치
- React/Next.js 최신 패치 적용
- 전체 프로젝트 재빌드 & 재배포
- WAF 규칙 업데이트
- 서버 로그에서 비정상 Flight 요청 탐지

엔키화이트햇은 “국내 기업이 공격자보다 먼저 위험을 식별하고 대응할 수 있도록 선제적 지원을 계속하겠다”고 밝혔다.