CVE-2025-55182 の詳細が公開されて間もなく、エンドポイントおよびネットワークセンサー全体で、大量の悪用試行が観測され始めました。この脆弱性は非公式に React2Shell と呼ばれており、ユーザー提供の JSON データが内部の JavaScript オブジェクト構造に影響を与えることを許容している Node.js アプリケーションに影響します。不適切な検証が行われている場合、攻撃者は process.mainModule.require へのアクセス、さらにその先の child_process.execSync へのアクセスを通じて、リモートコマンド実行へとエスカレートさせることができます。この脆弱性の完全な概要については、Business Insights 上の詳細なブログ記事をご覧ください。
この脆弱性は武器化が容易で適用範囲も広いため、ボットネットオペレーターに急速に採用されました。過去 30 日間のスマートホームに関するインサイトからは、このエクスプロイトが実際のキャンペーンでどのように使われているかが明確に見て取れます。
攻撃の規模
React2Shell のパターンに一致するブロック済みエクスプロイト試行を、1 日あたり 15 万件以上記録しました。検知の大半は、BusyBox 実行に紐づく直接的なコマンドインジェクションのシグネチャ、wget や curl によるファイルダウンロード試行、chmod による権限変更、そして各種難読化パターン(単純なフィルタリングを回避するために設計された base64 デコードシーケンスを含む)を伴っていました。
一部のリクエストは偵察目的のプローブでしたが、ほとんどはマルウェアをダウンロードして実行することを意図した構造化ペイロードでした。
攻撃の発信元
トラフィックのかなりの部分は、ポーランドのデータセンターから発信されています。特にある 1 つの IP アドレスは、React2Shell 関連イベントを 12,000 件以上引き起こしており、ポートスキャンや既知の Hikvision 脆弱性の悪用試行も伴っていました。この挙動は、侵害されたインフラがスキャンと多角的な攻撃の両方に利用される、Mirai 系ボットネットで見られるパターンと一致します。
さらに、米国、オランダ、アイルランド、フランス、香港、シンガポール、中国、パナマ、その他の地域からもプロービングが行われており、機会主義的な悪用に世界的に幅広く参加していることが示されています。
標的となったデバイス
攻撃試行は多種多様なデバイスタイプに向けられており、この種の攻撃がいかに機会主義的であるかを示しています。最も頻繁に標的となったモデルには、スマートプラグ、スマートフォン、NAS デバイス、監視システム、ルーター、開発ボード、さらには各種メーカー・モデルのスマート TV やコンシューマー向け電子機器が含まれていました。
多数の unknown デバイスフィンガープリントは、多くの攻撃が明確な識別データを公開していない、汎用的な Linux ベースの Web インターフェースを標的としていたことを示唆しています。この広がりは、確立されたボットネットのターゲティング挙動と一致します。すなわち、攻撃者はメーカーや用途に関係なく、HTTP エンドポイントが公開されているあらゆるデバイスをプローブします。
ペイロード分析
直近 1 週間で、React2Shell を通じて配信されていた主なペイロードファミリーを 2 種類特定しました。
- Mirai および Mirai 系ローダー。
これらのペイロードはしばしばBusyBoxコマンドを用いて、193.34.213[.]150上のインフラからx86やboltsといったファイル名のバイナリをダウンロードしていました。感染チェーンには、ダウンロード、権限変更、実行、そして二次コンポーネントを取得するためのフォローアップリクエストが含まれていました。 - Rondo マイナーの展開。
別のキャンペーンでは、この脆弱性を利用して41.231.37[.]153からスクリプトrondo.aqu.shをダウンロードしていました。このインストーラーは、自己伝播モジュールと暗号通貨マイニングコンポーネントの両方を取得します。
どちらのタイプのキャンペーンも、典型的なボットネットの収益化戦略と一致しています。すなわち、分散型サービス妨害(DDoS)能力、さらなるワーム活動、不正なマイニングです。
React2Shell が広く使われている理由
CVE-2025-55182 は、攻撃者に対して Web リクエストからシステムレベルのコマンド実行までの単純明快な経路を提供します。エクスプロイトペイロードはコンパクトで、高度なテクニックを必要とせず、多くの種類の Node.js アプリケーションに対して有効です。ボットネットオペレーターは歴史的に、この種の脆弱性を数日以内に採用しており、我々のモニタリング結果からも React2Shell が例外ではないことがわかります。
ユーザーにとっての意味
観測された悪用試行は自動化されており、無差別です。脆弱な実装を実行している公開サービスは、いずれも潜在的な標的となります。Node.js アプリケーションを開発または展開している組織は、利用可能なパッチを直ちに適用し、JSON パーシングロジックがプロトタイプ汚染やオブジェクト構造の操作を許容していないことを確認する必要があります。
IoT およびコンシューマーデバイスにおいては、適切なネットワークセグメンテーションや不要なリモートアクセスの無効化によって露出を減らすことが依然として不可欠です。一度デバイスが侵害されると、攻撃プラットフォームとして再利用されるのが一般的であり、スキャンと悪用のサイクルを継続させてしまいます。
当社は引き続き CVE-2025-55182 に関連する活動を監視し、新たなペイロードや脅威アクターが出現した際にはアップデートを提供していきます。
付録:侵害の痕跡(IoC)
悪意あるインフラ
React2Shell キャンペーンで観測された、主なエクスプロイトおよびマルウェア配信ホスト:
193.34.213.150–/nuts/x86や/nuts/boltsを含むパス配下で Mirai 風バイナリを配信するために使用。ペイロードは wget、curl、またはBusyBoxを通じて取得されます。しばしばchmod 777および直接実行と組み合わせて使用されます。41.231.37.153– ボットネットローダーと暗号通貨マイナーの両方を展開するスクリプトrondo.aqu.shを配信するホスト。wgetまたはcurlを通じてアクセスされ、フォールバックとしてBusyBoxによる取得チェーンが用意されています。
現在も稼働中の Mirai 配信エンドポイント:
- http://193.34.213.150/nuts/x86
- http://193.34.213.150/nuts/bolts
- http://89.144.31.18/nuts/x86
- http://89.144.31.18/nuts/bolts
- http://31.56.27.76/n2/x86
- http://172.237.55.180/c
その他のドメイン
- http://gfxnick.emerald.usbx.me/bot
Rondo 配信インフラ
- http://41.231.37.153/rondo.aqu.sh
- http://23.228.188.126/rondo.aqu.sh
Mirai マイナー配信インフラ
- http://176.117.107.154/bot
- http://23.132.164.54/bot
- https://f003.backblazeb2.com/file/mova12/98201-1-8/bot
悪意あるファイルハッシュ
- 622f904bb82c8118da2966a957526a2b
- a51a5c1e7d2bc3f7b2e3489f92a55d46
- aaca45131c5a5a95d384431e415474f7
- ca7f4b8e296fc4ef46ecb07218434e1b
- c50db4734195579e83834b2a84758cea
- e13a61420568eb596224ff8e48ea415a
- 025f5e04e54497242749ec480310fd7e
- 3ba4d5e0cf0557f03ee5a97a2de56511
- bf9d7224e709b4ac90a498418af20d3a
- 622f904bb82c8118da2966a957526a2b
- a51a5c1e7d2bc3f7b2e3489f92a55d46
- aaca45131c5a5a95d384431e415474f7
- ca7f4b8e296fc4ef46ecb07218434e1b
- c50db4734195579e83834b2a84758cea
- e13a61420568eb596224ff8e48ea415a
- 025f5e04e54497242749ec480310fd7e
- 3ba4d5e0cf0557f03ee5a97a2de56511
- bf9d7224e709b4ac90a498418af20d3a
翻訳元: https://www.bitdefender.com/en-us/blog/labs/cve-2025-55182-exploitation-hits-the-smart-home
