脅威アクターが、新たに公開されたReactの脆弱性「React2Shell」(CVE-2025-55182)をすでに悪用し始めているとみられています。
この重大な脆弱性は、細工されたHTTPリクエストを用いることで、影響を受けるサーバー上で認証不要のリモートコード実行を行うために悪用される可能性があります。この問題は研究者Lachlan Davidson氏により11月29日にReactのメンテナーであるMetaへ報告され、12月3日にパッチが提供されました。
React2Shellは多くのシステムに影響を与える可能性があります。というのも、アプリケーションのユーザーインターフェースを作成するためのオープンソースJavaScriptライブラリであるReactは、数百万のウェブサイトで利用されており、関連するNPMパッケージは毎週数百万回ダウンロードされているからです。クラウドセキュリティ大手のWizは、クラウド環境の39%に脆弱なReactインスタンスが含まれていると報告しています。
Davidson氏は専用のReact2Shellサイトを立ち上げましたが、脆弱性の技術的詳細は公開していません。しかし、脅威アクターや研究者らはパッチをリバースエンジニアリングしています。
React2Shellが公開された直後に、複数の概念実証(PoC)エクスプロイトが公開されましたが、それらは偽物であることが判明しました。ただし、少なくとも1つは実際に機能する公開PoCエクスプロイトが存在するようです。
予想どおり、悪用の試みも確認されています。AWSは木曜日の遅い時間に、同社の脅威インテリジェンスチームが、公開から数時間以内に中国と関係のある脅威アクターによるCVE-2025-55182の悪用試行を観測し始めたと報告しました。
AWSは、攻撃インフラが共有されているため正確な帰属は難しいとしつつも、攻撃試行はEarth LamiaおよびJackpot Pandaとして知られるグループによって行われていると考えています。
Earth Lamiaは少なくとも2023年から活動しており、ラテンアメリカ、中東、東南アジアの幅広い業種を標的にしています。この脅威アクターは、攻撃の中で複数の脆弱性を悪用していることが確認されています。
Jackpot Pandaは少なくとも2020年から活動しており、アジアでサイバースパイ活動を行っています。
「脅威アクターは、自動スキャンツールと個別のPoCエクスプロイトの両方を使用しています」とAWSは述べています。
Intruderのセキュリティ責任者であるDan Andrew氏は、SecurityWeekに対し、同社もReact2Shellの悪用活動を確認していると語りました。
スキャンと偽PoCエクスプロイト
CVE-2025-55182は、脆弱なインスタンスを検出できる脆弱性スキャナーや攻撃系セキュリティツールにも追加されており、これにより悪用試行がさらに広範に拡大する可能性があります。
一方で、セキュリティ研究者のKevin Beaumont氏は、この脆弱性はReactバージョン19のみに影響し、特に比較的新しいサーバー機能を使用しているインスタンスが対象であると指摘しています。
Beaumont氏が指摘しているように、これらの悪用試行の一部は、偽のPoCを利用しているように見えます。
AWSは、一部の脅威アクターが実環境では機能しない偽PoCを使用しようとしていることを確認しており、彼らができるだけ早くこの脆弱性を悪用しようと必死になっていることを示しています。
しかしAWSは、脅威アクターが自らの悪用試行を体系的にトラブルシューティングしている様子も確認しています。
「この行動は、脅威アクターが単に自動スキャンを実行しているだけでなく、実際の標的に対して積極的にデバッグし、悪用手法を洗練させていることを示しています」とAWSは説明しました。
同クラウド企業は、組織が潜在的な悪用試行を検知できるよう、侵害の痕跡(IoC)を公開しています。
翻訳元: https://www.securityweek.com/chinese-hackers-exploiting-react2shell-vulnerability/
