React JavaScriptライブラリにおける重大なセキュリティホール(CVE-2025-55182)を攻撃者が執拗に突いているとの新たな報告が出る中、Cloudflareの最高技術責任者は、自社ネットワークを停止させ、金曜早朝に広範な障害を引き起こしてまで、React2Shellへのパッチ適用を行ったと述べた。
Cloudflareが配信するHTTPトラフィックのおよそ28パーセントに影響し、世界中のウェブサイトをダウンさせたこのネットワーク障害は、「Cloudflareのシステムに対するサイバー攻撃や、いかなる種類の悪意ある活動によって、直接的にも間接的にも引き起こされたものではない」と、Cloudflareの最高技術責任者(CTO)Dane Knechtは金曜のブログで述べた。
「そうではなく、業界全体に影響する脆弱性がReact Server Componentsで今週公開されたことを受けて、それを検知・緩和しようとする中で、当社のボディパース処理ロジックに加えた変更が引き金となりました」と彼は付け加えた。
Cloudflareのこのドタバタは、脅威インテリジェンス担当者らから、攻撃者が重大なReact2Shellの欠陥を執拗に突いているとの複数の報告が出ていること、そして一部は本物、一部は偽物の複数の概念実証(PoC)がインターネット上を出回っていることに続くものであり、これらはすべて、バグが公に開示されてから数時間以内に始まった。
これらすべては、インターネットを支えるオープンソースコードの遍在性を示しており、少なくともある脅威ハンティング担当幹部によれば、セキュリティコミュニティに対して、開示プロセス全体を見直すきっかけとすべきだという。
「おそらく、セキュリティコミュニティやセキュリティプロバイダーが迅速に行動し、脅威アクターがグローバル規模で悪用する準備を整える前に緩和策を提供できるよう、もっと信頼する必要があるのかもしれません」と、Radwareの脅威インテリジェンス担当VP Pascal GeenensはThe Registerに語った。「これは競争ですが、完全かつ正確な情報にアクセスできれば、より多くのセキュリティプロバイダーが勝てるはずです。」
連鎖するReact-ion
ここまでに判明しているCVEの内容、それを悪用している者たち、そして機能するPoCと機能しないPoCについてまとめる。
水曜日、Reactチームは、この欠陥を発見・報告した研究者Lachlan DavidsonによってReact2Shellと命名された、CVSSスコア10.0の不正なデシリアライズ脆弱性を公開した。この欠陥は悪用が容易であり、認証を必要とせず、リモートの攻撃者が脆弱なインスタンス上で悪意あるコードを実行できる。
この問題は、Reactのフレームワークやバンドラ、特にWeb開発フレームワークのNext.jsにも影響を及ぼす。
我々は、脆弱なRCEを探すスキャン、偵察活動、AWSの設定および認証情報ファイルの窃取の試み、さらに攻撃者のC2インフラからペイロードを取得するダウンローダーのインストールを観測しています
木曜日の時点で、英国政府はCVE-2025-55182が実際に悪用されていると警告し、野放し状態にある複数の機能するPoCに言及した。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)も、その翌日にこのバグを既知の悪用脆弱性カタログに追加した。
同じく木曜日、Amazonは勧告を出し、開示から数時間以内に北京支援のグループがこの重大なセキュリティホールを叩き始めたと警告し、「Earth LamiaやJackpot Pandaを含む複数の中国国家系脅威グループによる積極的な悪用の試み」を挙げた。
他の脅威ハンターたちも、React2Shellの同様の悪用を確認している。
「我々は、いわゆる中国(PRC)関連グループを追跡しており、その活動の調査と確認を続けています」と、Palo Alto NetworksのUnit 42で脅威インテリジェンスリサーチのシニアマネージャーを務めるJustin Mooreは金曜にThe Registerへ語った。
「本日時点で、Unit 42はさまざまなセクターにわたる複数の組織が影響を受けていることを確認しています」とMooreは述べた。「我々は、脆弱なRCEを探すスキャン、偵察活動、AWSの設定および認証情報ファイルの窃取の試み、さらに攻撃者のコマンド&コントロールインフラからペイロードを取得するダウンローダーのインストールを観測しています。」
一方、セキュリティ企業Bitdefenderは次のように予測した。「Ransomware-as-a-Service(RaaS)グループやInitial Access Broker(IAB)は、この欠陥を急速に兵器化し、PoCが公開され次第、企業ネットワークへの足掛かりを確保しようとするでしょう。」
Davidsonによると、バグの公開から約30時間後に機能するPoCが出回り始め、その数時間後に彼自身もPoCを共有し、完全な技術解説も近日公開予定だという。
ハッカーのmaple3142は、これらのPoCの一つをGitHubに投稿し、Ox Securityのペンテスターがその有効性を確認した。「これは、この脆弱性が理論上のものではなく、実際に極めてリスキーであることを示しており、インターネットに面したサービスでは直ちにパッチを適用すべきです」と、Nir ZadokとMoshe Siman Tov Bustanは金曜に述べた。
しかし、Davidsonや他の研究者が指摘するように、偽のPoCもまた、野火のように広がっている。
「開発者が危険な機能をクライアント側に明示的に公開していることを前提とするものは、いかなるPoCとしても有効ではありません」とDavidsonは書いている。「これまでに『PoC』と称してよく見かけた一般的な例としては、vm#runInThisContext、child_process#exec、fs#writeFileなどがあります。これらは、クライアントにこれらを呼び出させることを意図的に許可している場合にのみ悪用可能であり、そのような設計は、この脆弱性があるかどうかにかかわらず危険です。」
責任ある開示について何を物語るか
Geenensによれば、こうした無効なPoCと、エクスプロイト自体に関する限られた情報が組み合わさることで、攻撃者側に有利に働いた可能性がある。これは特に、「オープンソースソフトウェアが関わる場合に顕著であり、脆弱性を修正するために必要なコード変更の詳細を誰でも確認できるからだ」と彼はThe Registerに語った。
Geenensは、Davidsonが追加の詳細や自らのPoCの公開を待ったことを責めてはいない。「多くのセキュリティ研究者がまさに同じように行動し、セキュリティコミュニティが防御策を開発し、組織がアップデートを展開する時間を稼ごうとするだろうと考えています。野外での広範な悪用が始まる前に、です」と彼は述べた。
しかし彼は、AWSなどが報告した迅速な悪用の試みは、「この戦略を見直す必要があるかもしれないことを示唆している」と付け加えた。
Geenensの説明によれば、政府支援のサイバー工作員は、限られた情報に基づいても素早くエクスプロイトを開発できるハッキングの専門知識と潤沢な資金を備えている。
「エクスプロイトの詳細を共有しないことは、一部の組織の防御を出し抜くために必要な優位性を彼らに与えてしまう可能性があります」と彼は言う。「限られた情報は、コミュニティ内で不正確な前提や誤った情報が出回る一因となり、一部の組織が講じた緩和策に影響を与え、誤った安心感を与える可能性があります。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/05/react2shell_pocs_exploitation/
