TokyoBlackHatNews

darkreading.com 4分で読了

React2Shellの脆弱性が中国関連グループから攻撃を受ける

中国国旗を背景にした脅威アクターのシルエット

出典: Jakub Krechowicz / Alamy ストックフォト

人気の高いオープンソースのJavaScriptライブラリであるReactに影響する重大な脆弱性が、まさに中国の国家支援型脅威アクターによって攻撃を受けている。

水曜日に公開されたCVE-2025-55182は、認証不要のリモートコード実行(RCE)脆弱性であり、React Server Components(RCS)プロトコルのバージョン19.0.0、19.1.0、19.1.1、19.2.0に対応する3つのパッケージ(react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack)に影響し、安全でないデシリアライゼーションが原因となっている。このバグの深刻さ、Reactの普及度、そして認証前RCEを引き起こし得ることから、この脆弱性にはCVSSスコア10(最高深刻度)が付与されている。

セキュリティ研究者たちはこの脆弱性を「React2Shell」と呼んでおり、これは2021年に公開され、Log4jフレームワークにおけるLog4Shell脆弱性として知られる壊滅的な欠陥が広範に悪用されたことへの言及である。

最大深刻度スコアを持つ、関連する2つ目のCVE(CVE-2025-66478)は、RCS脆弱性がNext.jsフレームワークに与える下流への影響を対象としている。

CVE-2025-55182に対するパッチは、Reactバージョン19.0.1、19.1.2、19.2.1向けにすでに提供されており、影響を受ける顧客には、可能な限り早急に該当パッチを適用することが強く推奨されている。下流への影響に対しても、一般的に緩和策が利用可能だ。たとえばNext.jsのメンテナーであるVercelは、CVE-2025-66478に関するガイダンスを公開し、影響を受けるフレームワークのバージョン向けにパッチをリリースしている。

セキュリティコミュニティは迅速に行動し、多くのメンテナーやベンダーが、この脅威が公になった直後から封じ込めに取り組んだ。とはいえ、当初はReact2Shellが実際に攻撃を受けているかどうかは不明だったものの、残念ながら現在はそうではない。

中国関連アクターがReact2Shellを標的に

木曜日に公開されたブログ記事の中で、AmazonのCISOであるCJ Moses氏は、12月3日にCVE-2025-55182が公表されてから数時間以内に、「Amazonの脅威インテリジェンスチームが、中国国家関連の脅威グループであるEarth LamiaやJackpot Pandaを含む複数のグループによる積極的な悪用試行を観測した」と警告した。

Moses氏は、中国の大規模な匿名化ネットワークの存在により、攻撃ごとの属性特定は難しいと認めつつも、「属性不明の活動に関する観測済み自律システム番号(ASN)の大半が中国のインフラに紐づいており、悪用活動の大部分が同地域から発していることを裏付けている」と付け加えた。

さらに同氏は、脅威アクターが自動スキャンツールやPoC(概念実証)エクスプロイトの多く(その多くは機能しないもの)を用いて、脆弱な組織を標的にしていると記している。しかし、こうしたケースでは、脅威アクターは目先の脆弱性だけを狙っているわけではない。

「これらのグループは活動をCVE-2025-55182に限定していません。Amazonの脅威インテリジェンスチームは、彼らがCVE-2025-1338を含む、他の最近のN-day脆弱性も同時に悪用していることを観測しました」と同氏は記している。「これは体系的なアプローチを示しています。すなわち、脅威アクターは新たな脆弱性の公開を監視し、公開されたエクスプロイトを迅速にスキャンインフラへ統合し、複数のCVE(Common Vulnerabilities and Exposures)にまたがる広範なキャンペーンを展開することで、脆弱な標的を見つけ出す可能性を最大化しているのです。」

React2Shellの余波は続く

中国関連の攻撃者はReact2Shellを標的にした最初のグループの一部かもしれないが、それが唯一の攻撃者になるという意味ではない。この脅威はまだ初期段階にあり、余波は外部からの攻撃にとどまらない。Cloudflareは、React2Shellに対する緩和策の一環として、顧客を悪用試行から保護するためのWebアプリケーションファイアウォール(WAF)ルールを展開した結果、金曜日に短時間の障害を経験した

Rapid7のブログ記事によると、同社はセキュリティ研究者によって公開された、この脆弱性向けの動作するPoCエクスプロイトを検証したという。他にもPoCは公開されているが、それらのうちどれだけがCVE-2025-55182の成功した悪用につながるのかは不明だ。

ブログ記事でも述べられているように、広範な悪用はまだ始まっていないかもしれないが、動作するエクスプロイトが利用可能になれば状況は変わる可能性が高い。そのため、CVE-2025-55182またはCVE-2025-66478の影響を受けている、あるいはその可能性があると考えられる組織は、今すぐ行動を起こすべきである。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/react2shell-under-attack-china-nexus-groups

ソース: darkreading.com
#CVE-2025-55182 #CVE-2025-66478 #Next.js セキュリティ #React Server Components 脆弱性 #React2Shell #サイバーセキュリティインシデント #ゼロデイ・Nデイ脆弱性悪用 #ソフトウェアサプライチェーン攻撃 #リモートコード実行(RCE) #中国系国家支援ハッカー

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開