Amazon は、中国とつながりのあるハッキング集団が、公開から数時間以内に重大な React「React2Shell」脆弱性を激しく攻撃し始め、理論上の CVSS 10 の穴が、ほぼ即座に実際の攻撃インシデントへと変貌したと警告した。
新たなアドバイザリの中で、AWS は自社の脅威インテリジェンスチームが「Earth Lamia や Jackpot Panda を含む、複数の中国国家系脅威グループによる積極的な悪用試行を観測した」と述べている。
これらの試行は、Amazon のハニーポットネットワークである MadPot を通じて捕捉され、北京寄りのオペレーターと以前から関連付けられていたインフラに紐づくスキャンおよびエクスプロイトトラフィックとして記録された。
組織を狙うために Web アプリケーションのバグを悪用することで知られる攻撃者たちは、すでに公開された PoC(概念実証)エクスプロイトに基づく特別に細工された HTTP リクエストを投げつけていたと、Amazon は説明している。
「中国は依然として、国家支援型サイバー脅威活動の最も多産な発信源であり、脅威アクターは公開されたエクスプロイトを、開示から数時間から数日のうちに日常的に実運用化しています」と、Amazon の CISO 兼セキュリティエンジニアリング担当 VP である CJ Moses 氏は記している。「AWS MadPot ハニーポットインフラの監視を通じて、Amazon の脅威インテリジェンスチームは、既知のグループと、これまで追跡されていなかった脅威クラスターの双方が CVE-2025-55182 の悪用を試みていることを確認しました。」
この発見は、今週初めに出された CVE-2025-55182 に関する警告に、さらなる緊急性を与えるものだ。この脆弱性は、React Server Components と、Next.js などそれに依存するフレームワークに存在する、最高深刻度の欠陥である。バグは React のサーバーサイドパッケージ内部の安全でないデシリアライズ処理に起因しており、認証されていない攻撃者が細工したリクエストを送ることで、いかなる認証もなしにリモートコード実行を達成できてしまう。
Google 傘下の Wiz は、推計として、今週初めの時点でクラウド環境のおよそ 39 パーセントが依然として脆弱なバージョンを稼働させていたとし、モダン Web 全体における React の支配的な地位を踏まえると、潜在的な被害範囲は膨大になり得ると指摘している。
AWS が、国家支援ハッカーがすでにこのバグに飛びついていると突き止めたことで、事態がどれほどの速さで「悪い」から「さらに悪い」へと悪化したかが明らかになった。テック大手である同社は、マネージドサービス全体に対して緩和策を展開したとしつつも、これらは「パッチ適用の代替にはならない」と改めて強調した。EC2、コンテナ、あるいは自前のインフラ上で React や Next.js を動かしている顧客には、直ちにアップデートするよう強く求めている。
一方で、業界の誰もが、この反応が適切な範囲に収まっていると考えているわけではない。セキュリティウォッチャーの Kevin Beaumont 氏は、警鐘を鳴らし、業界の一部は自らをヒステリー状態に追い込んでいるとし、「サイバーセキュリティ業界は React の脆弱性に過剰反応し、パニックに陥って自分たちの家をまた燃やしている」と書いている。同氏の見解では、この欠陥が深刻でありパッチ適用が不可欠であることは間違いないものの、そもそも脆弱なエンドポイントを外部公開していない組織が一律に緊急変更を行うと、自ら障害を引き起こすリスクがあるという。
すでにそのような事態に陥った大手も 1 社あると、Beaumont 氏は述べている。同氏によれば、金曜日に発生した Cloudflare の障害(そう、まただ)は、同社が「実際には非常にニッチな脆弱性を見つけようとする過程で、自社サービスを落としてしまった」ことが原因だという。
React は、脆弱性が公表された当日に、影響を受けるすべてのサーバーサイドパッケージをカバーする修正版リリースを出している。しかし、悪意あるトラフィックがほぼ即座に現れたことから、パッチ適用を先延ばしにした組織は、自社システムがすでに探索行為を受けたと想定すべきだ。
中国の国家系アクターがすでに関与し、便乗を狙う犯罪者も続々と現れることが予想される中で、かつては理論上存在していた「パッチ適用の猶予期間」は、実質ゼロにまで崩壊してしまった。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/05/aws_beijing_react_bug/
