中国と関連する脅威グループがすでにこの欠陥を標的にし始めており、クラウド環境のおよそ 40% が影響を受ける可能性があることから、広範なリスクが生じている。
研究者らは、Meta の React Server Components とNext.jsにおける重大な脆弱性が、ボットネットや国家関与の敵対者から脅威にさらされていると警告している。
Earth Lamia と Jackpot Panda として追跡されている中国関連の脅威グループは、水曜日にこの欠陥が公開されてから数時間以内に、CVE-2025-55182として追跡されている React の脆弱性を悪用しようと試みたと、木曜日に公開されたブログ投稿によると Amazon の最高情報セキュリティ責任者(CISO)である CJ Moses 氏は述べている。
React2Shell と名付けられたこの脆弱性は、認証されていない攻撃者がReact Server Function エンドポイントに送信されるペイロードの安全でないデシリアライゼーションにより、リモートコード実行を達成できるようにしてしまう。
GreyNoise の研究者らは、主に自動化された、機会的な悪用の試みを報告していると、金曜日に公開されたブログ投稿で述べている。GreyNoise によると、Mirai やその他のボットネット用エクスプロイトキットにこの欠陥が「追加され始めている」兆候がゆっくりと見え始めているという。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この欠陥を「既知の悪用済み脆弱性」カタログに追加したと金曜日に発表した。
Palo Alto Networks の研究者らは、約 97 万台のサーバーがモダンなフレームワークを実行していると述べており、React やNext.jsのようなフレームワークを含め、リスクは広範に及んでいる。
「この新たに発見された欠陥は、システムをクラッシュさせるのではなく、受信するデータ構造への信頼を悪用することで成功する“マスターキー”型のエクスプロイトであるため、重大な脅威です」と、PAN Unit 42 の脅威インテリジェンス調査シニアマネージャーである Justin Moore 氏は述べた。「システムは、正当なコードとまったく同じ信頼性で悪意あるペイロードを実行します。なぜなら、悪意ある入力に対してであっても、まさに意図されたとおりに動作してしまうからです。」
セキュリティ研究者の Lachlan Davidson 氏は、11 月 29 日に Meta のバグバウンティプログラムを通じて React にこの脆弱性を報告した。React は、水曜日にこの欠陥に対するパッチをリリースし、ユーザーに対して直ちにアップグレードを適用するよう強く求めている。
翻訳元: https://www.cybersecuritydive.com/news/state-linked-critical-vulnerability-react-server/807228/
