React2Shellの重大な脆弱性(CVE-2025-55182として追跡)が公開されてからわずか数日で、脅威アクターがすでに実環境でこの欠陥を積極的に悪用している。
この脆弱性のCVSS v3.1スコアは10で、可能な限り最高の深刻度評価となっている。
Amazon Web Services(AWS)は、Earth LamiaやJackpot Pandaなど、中国政府の利益と関連付けられている脅威グループが、悪用試行を行っているグループの一部であることを確認した。
Earth Lamiaは、ラテンアメリカ、中東、東南アジア全域の組織を標的とするために、ウェブアプリケーションの脆弱性を悪用することで知られている。
同グループはこれまで、金融サービス、物流、小売、IT企業、大学、政府機関など、さまざまな分野を標的としてきた。
Jackpot Pandaは主に、東アジアおよび東南アジアの組織を標的としている。
200万件超のインスタンスがReact2Shellの影響を受ける可能性
CVE-2025-55182に対しては、すでに複数の動作する概念実証(PoC)エクスプロイトが存在している。
PoCの迅速な武器化は、高度な脅威アクターが、脆弱性を実運用レベルのエクスプロイトへと変換するのに一切時間を無駄にしていないことを浮き彫りにしている。
一方で、Shadowserver Foundationは、さまざまな種類のエッジデバイスやその他アプリケーションにおける公開HTTPサービスをスキャンした結果、7万7000件以上の脆弱なIPを特定した。
Censysは観測したところ、この脆弱性の影響を受ける可能性のあるインターネット向けサービスのインスタンスが、わずかに215万件超存在していた。これには、React Server Componentsを使用する公開ウェブサービスや、Next.js、Waku、React Router、RedwoodSDKといったフレームワークの公開インスタンスが含まれる。
このバグは、React Server Components バージョン19.0.0、19.1.0、19.1.1、および19.2.0に存在する、認証前リモートコード実行(RCE)の脆弱性である。Reactは12月3日に、関連するパッチとアップデートを含むセキュリティアドバイザリを公開した。
影響を受けるReact Server Componentsコードを実行しているインターネット公開サーバーは、更新が完了するまでは脆弱であるとみなすべきだと、セキュリティ研究者らは警告している。
潜在的な悪意ある悪用による影響に加え、この欠陥の修正対応自体も悪影響を及ぼす可能性がある。たとえば2025年12月5日には、Cloudflareのネットワークに重大な障害が発生した。インターネットネットワークプロバイダである同社は、その後、このインシデントがReact2Shellの脆弱性を検知・緩和しようとする過程で、ボディパース処理ロジックに加えられた変更によって引き起こされたことを確認した。
PoCはすべてが同等ではない
AWSの調査によると、脅威アクターは自動スキャンツールと個別のPoCエクスプロイトの両方を使用している。
これらの悪意あるアクターの一部は、新たなCVEの公開を監視し、公開されたエクスプロイトを迅速に自らのスキャン基盤へ統合している。
しかしAWSは、多くの脅威アクターが、実環境では機能しない公開PoCを使おうとしていることを観測している。
以前、セキュリティ企業JFrogも、GitHub上に偽のPoCが存在することを警告し、こうした種類のプロジェクトの中には、それ自体に悪意あるコードが含まれているものもあると指摘していた。
AWSによれば、多くの公開PoCには技術的な不正確さが含まれている。それにもかかわらず、脅威アクターは依然としてそれらを使おうとしている。
AWSは、これらのPoCの利用は、脅威アクターが綿密なテストよりも迅速な運用化を優先し、利用可能なあらゆるツールで標的の悪用を試みていることを示していると述べた。
複数のPoCを用いて脆弱な環境をスキャンすることにより、たとえPoCが機能しなくても、脅威アクターは脆弱な構成を特定できる可能性を高めることができる。
PoCが入手可能であることにより、技術的にそれほど高度でないアクターも悪用キャンペーンに参加できるようになる。
さらにAWSは、たとえ悪用が失敗した試行であっても、ログに大量のノイズを生み出し、より高度な攻撃を覆い隠してしまう可能性があると指摘している。
無効なPoCは、React2Shellに対するテストを行う際、開発者に誤った安心感を与えかねない。
React2Shell専用のリポジトリにおいて、この脆弱性を発見したセキュリティ研究者Lachlan Davidsonは次のように記している。「これらの『PoC』の多くは、出版物や一部の脆弱性アグリゲータで参照されています。私たちは、これらがサービスが脆弱かどうかを評価する際に誤検知(偽陰性)を招いたり、本物のPoCが出回ったときに備えができていない状態を生み出したりするのではないかと懸念しています。」
翻訳元: https://www.infosecurity-magazine.com/news/react2shell-under-active/
