TokyoBlackHatNews

securityweek.com 5分で読了

React2Shellの悪用が急増

人気のオープンソースライブラリであるReact(アプリケーションのユーザーインターフェースを作成するためのライブラリ)に最近発見された重大な脆弱性を悪用しようとする脅威アクターが増加している。

この脆弱性はReact2Shellと名付けられ、公式にはCVE-2025-55182として追跡されている。特別に細工されたHTTPリクエストを用いることで、認証不要のリモートコード実行が可能になる。この欠陥は、Reactバージョン19を使用するシステム、特にReact Server Components(RSC)を利用しているインスタンスに影響を与える。

この脆弱性の存在は12月3日に明らかになった。ReactのメンテナーであるMetaが、研究者Lachlan Davidsonから11月29日に問題の報告を受け、その後パッチを公開したためだ。

React本体に加え、CVE-2025-55182は、Next.js、Waku、React Router、RedwoodSDKなど、Reactに依存する他のフレームワークにも影響を及ぼす。

CVE-2025-55182の影響を受けるReactインスタンス

Reactは広く利用されている。数百万のウェブサイトを支え、AirbnbやNetflixといった人気オンラインサービスでも使われており、その中核となるNPMパッケージは現在、週あたり6,000万回ダウンロードされている。

しかし、研究者Kevin Beaumontが指摘しているように、React2Shellの影響を受けるのは、過去1年以内にリリースされたReactバージョン19のみであり、同じく過去1年以内に利用可能になったRSCを使用しているインスタンスに限られる。 

「これはニッチな構成です」とBeaumontは述べた。「大多数の組織は、ましてやインターネットに面した環境で、この構成をまだ採用していないでしょう。この脆弱性は、新機能に最初に導入されてからメンテナーによってすぐに発見されたため、実際にこの機能を使っている組織であれば、素早く修正することができます。」

Shadowserver Foundationは、脆弱なReactインスタンスをホストしているIPアドレスを7万7,000件以上確認したと報告している。

Censysは金曜日、React、Waku、React Router、Next.js、RedwoodSDKのインスタンスを25万件以上観測しており、それらが脆弱である可能性があると述べた。約7万件が米国、次いで中国(3万件)、ドイツ(2万5,000件)、インド(1万3,000件)に存在する。 

クラウドセキュリティ大手のWizは、監視しているクラウド環境の39%に、脆弱なReactまたはNext.jsのバージョンが含まれていると報告している。 

React2Shellの悪用

React2Shellの悪用は、公開直後からほぼ即座に始まった。AWSは、少なくとも中国と関連する2つの既知の脅威アクター、Earth LamiaとJackpot Pandaが、12月3日以降、この脆弱性を攻撃で悪用していると報告している。

脆弱性の公開直後に一般公開された多くの概念実証(PoC)エクスプロイトは、偽物であるか、少なくとも実環境では効果がないことが判明したものの、やがて実用的なPoCが登場し、現在では悪用が急増しているようだ。

Palo Alto NetworksはSecurityWeekに対し、金曜日の時点で、さまざまな業種にわたる30以上の組織が影響を受けていることを確認したと述べた。同社のUnit 42で脅威インテリジェンス調査のシニアマネージャーを務めるJustin Moore氏は次のように語った。

「私たちは、脆弱なRCEを探すスキャン、偵察活動、AWSの設定および認証情報ファイルの窃取の試み、ならびに攻撃者のコマンド&コントロールインフラからペイロードを取得するダウンローダーのインストールを観測しています。

Unit 42は、高い確度でCL-STA-1015(別名UNC5174)と一致すると評価される脅威活動を観測しました。このグループは、中国国家安全省と関係を持つ初期アクセスブローカーであると疑われています。この活動では、SnowlightおよびVshellマルウェアの展開を確認しており、いずれもUnit 42が把握しているCL-STA-1015(UNC5174としても知られる)の特徴と非常に一致しています。」

Wizも、12月5日以降「複数の被害者」を確認したと報告しており、その多くはNext.jsアプリケーションとKubernetesコンテナだった。同社は、AWS認証情報の窃取の試み、Sliverの展開、暗号通貨マイナーの配布などを確認している。 

脅威インテリジェンス企業GreyNoiseは、過去2日間で200以上のIPアドレスからの悪用試行を観測している。活動の多くは、脆弱なインスタンスを探す自動スキャンだが、一部の攻撃では、暗号通貨マイナーやその他のマルウェアにつながるダウンローダーやその他の悪意あるペイロードの展開が行われている。

セキュリティ企業EllioもReact2Shell攻撃を確認しており、そのうち偵察のみにとどまるものはわずか2%だった。約65%の攻撃は、通常ボットネットの構築に使われるMiraiマルウェアと暗号通貨マイナーの配布を試みていた。 

サイバーセキュリティ機関CISAも悪用を確認し、CVE-2025-55182を既知の悪用脆弱性(KEV)カタログに追加した。連邦機関に対しては、12月26日までに自組織の環境でこの脆弱性へ対処するよう指示している。

翻訳元: https://www.securityweek.com/exploitation-of-react2shell-surges/

ソース: securityweek.com
#CISA KEV カタログ #CVE-2025-55182 #Mirai ボットネット #Next.js 脆弱性 #React Server Components #React2Shell #クラウドセキュリティ(AWS・Kubernetes) #リモートコード実行(RCE) #中国系ハッカーグループ #暗号通貨マイナー攻撃

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯