Vào ngày thứ 6 vừa qua, hàng triệu người dùng internet trên thế giới lại bỗng dưng không thể truy cập vào các trang web yêu thích của mình, với thông báo lỗi 500 Internal Server Error hiện lên đầy màn hình. Điều bất ngờ là nguyên nhân không phải do tin tặc tấn công hay sự cố hạ tầng bất khả kháng, mà đến từ chính... Cloudflare - công ty cung cấp dịch vụ bảo mật và tăng tốc website cho hàng triệu trang web toàn cầu.
Trong một thông báo trên blog chính thức, CTO Dane Knecht của Cloudflare đã thừa nhận rằng sự cố hoàn toàn không liên quan đến bất kỳ cuộc tấn công mạng nào. Thay vào đó, vấn đề xuất phát từ nỗ lực của chính đội ngũ kỹ thuật Cloudflare khi cố gắng vá một lỗ hổng bảo mật nghiêm trọng đang gây xôn xao cộng đồng công nghệ trong tuần này. Ông Knecht giải thích rằng khi thực hiện các thay đổi đối với logic xử lý HTTP request nhằm phát hiện và giảm thiểu lỗ hổng trong React Server Components, đội ngũ đã vô tình tạo ra một sự cố kỹ thuật khiến hệ thống của nhiều khách hàng ngừng hoạt động.
Cloudflare lại gặp sự cố vào thứ 6 tuần trước
Con số thiệt hại cũng không hề nhỏ. Theo Cloudflare, khoảng 28% tổng lưu lượng HTTP mà công ty phục vụ đã bị ảnh hưởng trong thời gian sự cố xảy ra. Điều này có nghĩa là hàng triệu website trên khắp thế giới đã tạm thời "đi ngủ sớm", bao gồm cả chính dashboard quản trị của Cloudflare. Người dùng cố gắng truy cập các trang web này chỉ nhận được thông báo lỗi 500, một dạng lỗi phía server thường báo hiệu có vấn đề nghiêm trọng trong việc xử lý yêu cầu. May mắn là Cloudflare đã nhanh chóng triển khai bản sửa lỗi và khôi phục hoàn toàn dịch vụ vào lúc 8 giờ sáng theo giờ miền Đông Hoa Kỳ.
Vậy lỗ hổng mà Cloudflare đang cố vá là gì mà lại gây ra hậu quả nghiêm trọng đến vậy? Đó chính là React2Shell, được theo dõi với mã CVE-2025-55182 và được đánh giá là lỗ hổng bảo mật nghiêm trọng nhất năm nay trong React Server Components. Lỗ hổng này ảnh hưởng đến các phiên bản React từ 19.0 đến 19.2.0 - những phiên bản được phát hành trong năm qua. Bản chất của React2Shell nằm ở giao thức 'Flight' trong React Server Components, cho phép kẻ tấn công chưa được xác thực có thể gửi các HTTP request độc hại đến React Server Function endpoints và từ đó chiếm quyền điều khiển hoàn toàn các ứng dụng React và Next.js.
Mức độ nguy hiểm của lỗ hổng này đã được xác nhận bởi nhiều tổ chức an ninh mạng uy tín. NHS Anh đã đưa ra cảnh báo vào thứ Năm rằng nhiều bản proof-of-concept exploit cho lỗ hổng này đã xuất hiện công khai trên internet. Cơ quan này nhấn mạnh rằng "việc khai thác thành công trong thực tế là điều gần như chắc chắn", khiến các tổ chức đang sử dụng React phiên bản bị ảnh hưởng phải vội vàng cập nhật lên các phiên bản đã được vá lỗi.
Nguyên nhân bắt nguồn từ một bản vá lỗi nhằm ngăn lỗ hổng bảo mật React2Shell của Cloudflare
Tuy nhiên, đây không phải là lần đầu tiên Cloudflare "hụt chân" và gây ra sự cố lớn cho cộng đồng internet toàn cầu. Chỉ một tháng trước đó, công ty này đã trải qua một sự cố toàn cầu khác kéo dài gần 6 tiếng đồng hồ, khiến mạng lưới toàn cầu của họ ngừng hoạt động. CEO Matthew Prince đã phải công khai mô tả đây là "sự cố tệ nhất kể từ năm 2019". Trước đó vào tháng 6, Cloudflare cũng gặp phải một sự cố lớn khác liên quan đến Zero Trust WARP, gây ra các vấn đề về xác thực Access và kết nối WARP trên nhiều khu vực, thậm chí còn lan sang cả hạ tầng của Google Cloud.
Chuỗi sự cố liên tiếp này đặt ra câu hỏi về độ tin cậy của các dịch vụ hạ tầng internet quy mô lớn. Trong khi việc nỗ lực vá lỗi bảo mật kịp thời là điều đáng khen ngợi, nhưng một bản vá được triển khai vội vàng mà chưa được kiểm tra kỹ lưỡng lại có thể gây ra thiệt hại lớn hơn nhiều so với chính lỗ hổng mà nó cố gắng khắc phục. Đối với hàng triệu website phụ thuộc vào Cloudflare, sự cố lần này là lời nhắc nhở rằng ngay cả những "người khổng lồ" cũng có thể vấp ngã, và đôi khi chính những nỗ lực tốt đẹp nhất lại có thể dẫn đến hậu quả không mong muốn.