TokyoBlackHatNews

darkreading.com 5分で読了

React2Shell に対する悪用活動が急増

読了時間 3 分

サイバー攻撃とウイルスを示す赤い世界地図

出典: Wavebreakmedia Ltd IFE-250718(Alamy Stock Photo 経由)

公開から 1 週間も経たないうちに、React2Shell として知られる最大深刻度の脆弱性が、機会主義的な脅威アクターによってますます悪用されるようになっている。

CVE-2025-55182 は React オープンソースソフトウェアにおける重大なリモートコード実行の欠陥であり、初めて公開されたのは 12 月 3 日だった。セキュリティ研究者たちは、この脆弱性を 2021 年の欠陥Log4Shellへのオマージュとして React2Shell と呼んでおり、Log4Shell は数カ月にわたり幅広い攻撃を引き起こした。

最大 CVSS スコア 10 を付与された React2Shell は、公開から数時間以内に、複数の中国関連の脅威グループから攻撃を受け始めたと、Amazon の最高情報セキュリティ責任者(CISO)である CJ Moses は述べている。

ここ数日で悪用活動は明らかに加速している。月曜日に公開されたブログ記事で、Wiz の研究者らは、暗号通貨マイニングや認証情報窃取から、より複雑なバックドアキャンペーンに至るまで、実際の攻撃を観測したと述べた。

「私たちは CVE-2025-55182 の機会主義的な悪用が急速に広がっていることを観測しており、攻撃者は単純な偵察から、クラウドネイティブ環境におけるハンズオンキーボード型の悪用へと素早く切り替えています」とブログ記事は述べている。「ほとんどの攻撃は、インターネットに面した Next.js アプリケーションや、Kubernetes およびマネージドクラウドサービス上で動作するその他のコンテナ化されたワークロードを標的としています。」

一方 VulnCheck は、月曜日にソーシャルメディアプラットフォーム X への投稿で、React2Shell について「悪用はすでに広範囲に及んでいる」と述べた。関連するブログ記事の中で、VulnCheck のセキュリティリサーチ担当バイスプレジデントである Caitlin Condon は、同社のカナリーネットワークが 12 月 6 日時点で「数百件のエクスプロイト試行」を、広範かつ機会主義的な活動として観測したと記している。

Next.js アプリなどに対する高リスク

当初、React2Shell の脆弱性には 2 つの CVE が含まれていた。1 つ目の CVE-2025-55182 は、React Server Components(RSC)プロトコルにおけるデシリアライゼーションの問題である。2 つ目は同じく CVSS スコア 10 を付与された CVE-2025-66478 であり、この CVE はクラウドソフトウェアベンダーの Vercel が保守する Next.js フレームワークに対する、RSC プロトコルの欠陥の下流への影響を対象としていた。

CVE-2025-66478 はその後、Mitreおよび National Vulnerability Database によって重複として却下された。しかし、React2Shell のリスクは、デフォルトで脆弱な Next.js アプリケーションにとって極めて高いままだ。

CVE-2025-55182 に関する私たちのテストでは、このデシリアライゼーションロジックは、ユーザー定義の Server Actions の存在や、ルート固有の探索を必要とせず、デフォルトで到達可能であるように見えます」と Condon は VulnCheck のブログ記事で記している。「これは、Next.js が脆弱なバージョンにおいてデフォルトでサーバーサイドレンダリング(SSR)を使用しているという事実の結果です。」

Wiz の研究者らも同様の懸念を示したが、Next.js アプリケーションが現在の主なベクターである一方で、React2Shell 攻撃は RSC プロトコルを使用する他のソフトウェアフレームワークも危険にさらす可能性があると指摘した。

「私たちの内部調査では、この PoC(概念実証)を(わずかな調整で)使用して、Waku と Vite(RSC プラグイン付き)の両方でコード実行に成功しました。PoC にごく小さな変更を加えるだけで、さらに多くのフレームワークが脆弱であり、同様にごくわずかな調整で悪用可能になると確信しています」と彼らは記している。

12 月 5 日付のアドバイザリで、Censys はインターネットスキャンにより、Next.js またはその他の RSC ベースのソフトウェアフレームワークを実行している 210 万件以上の公開 Web サービスを発見したと述べた。ただし、サイバーセキュリティ企業である同社は、そのうちどれだけが React2Shell に対して脆弱なのかは不明だとしている。Censys のデータによると、最も多くの公開インスタンスを抱える国は米国であり、次いで中国とドイツが続く。

Censys は、影響を受ける RSC コードを実行しているインターネットアクセス可能なサーバーは、適切に更新されるまで脆弱であるとみなすよう組織に促した。一方、サーバー上で動作していない純粋なクライアントサイドアプリケーションは React2Shell の影響を受けない。また同社は、Cloudflare や AWS などの Web アプリケーションファイアウォール(WAF)プロバイダーが、悪用をブロックするための新しい WAF ルールを展開していることにも言及した。

「しかし、一部の PoC では WAF 回避テクニックが報告されています」と Censys は記している。「WAF は万能薬ではないため、パッチ適用こそが依然として、より安全で信頼性の高いアプローチです。」

翻訳元: https://www.darkreading.com/vulnerabilities-threats/exploitation-activity-ramps-react2shell

ソース: darkreading.com
#CVE-2025-55182 #Kubernetesコンテナセキュリティ #Next.js脆弱性 #React2Shell #Reactセキュリティ #WAF回避とパッチ適用 #クラウドネイティブ環境 #サプライチェーン攻撃リスク #リモートコード実行(RCE) #暗号資産マイニング攻撃

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開