セキュリティ専門家は、React Server Components において先週公開された重大な脆弱性 React2Shell を悪用しようとする攻撃者が増え続けており、悪意ある活動が着実に増加していることを観測している。この脆弱性は 先週公表された ものだ。
当局もこの欠陥に対する懸念の高まりを受けて対応しており、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、政府機関がこの脆弱性にパッチを適用する期限を金曜日までに前倒しした。同庁は先週、CVE-2025-55182 を既知の悪用済み脆弱性カタログに追加した際、当初は期限を12月26日に設定していた。
Palo Alto Networks の Unit 42 によると、この脆弱性の悪用を伴う攻撃によって50を超える組織が影響を受けており、被害は米国、アジア、南米、中東で確認されている。
この欠陥に対する懸念の広がりを裏付ける証拠は豊富にあり、脅威リサーチコミュニティのさまざまな方面から報告されている。国家支援の攻撃者、サイバー犯罪者、ボットネット、暗号資産の窃取やクリプトジャッキングマルウェアの展開を狙う脅威グループなど、さまざまなタイプの攻撃者がこの機会に群がっている。
Shadowserver のスキャンにより、潜在的な影響範囲はこれまで考えられていたよりもはるかに大きいことが判明した。同団体は月曜日、16万5,000以上のIPと64万4,000以上のドメインで脆弱なコードが確認され、それらのインスタンスが悪用のリスクにさらされていることを発見した。これらの脆弱なインスタンスのおよそ3分の2は米国に所在している。
「これは“ワンクリックでゲームオーバー”タイプの脆弱性と、それに対応するエクスプロイトです」と、Fastly の最高プロダクト責任者(CPO)である Kelly Shortridge 氏は CyberScoop に語った。「基本的に、あらゆるところで攻撃が発生しているのが見えています」と同氏は述べ、攻撃者は価値のあるデータ、機密記録、あるいは恐喝目的で盗み出したり停止させたりできるビジネスクリティカルなアプリケーションを持つあらゆる組織を標的にしていると説明した。
「セキュリティチームが、驚くべきことに、必ずしも全員がこれを真剣に受け止めているわけではありません。対応にかなりバラつきがあります」と Shortridge 氏は述べ、「セキュリティチームからこの種の軽視が見られるのは意外です」と付け加えた。
公開されている CVE-2025-55182 への露出リソースの半数は依然として未パッチであり、実際の環境での悪用は火曜日の早い段階から急速に拡大していると、Wiz の AI・脅威リサーチ担当バイスプレジデントである Alon Schindel 氏はLinkedIn の投稿で述べた。Wiz Research はこれまでに15以上の明確に区別できる侵入クラスターを観測している。
Rapid7 の脅威インテリジェンス&アナリティクス担当シニアディレクターである Christiaan Beek 氏は、これは「今すぐパッチを適用すべき状況」であり、脅威の全領域から同時多発的な悪用が行われていると表現した。
「当社のテレメトリでは、Mirai ボットの展開やコインマイナーといった低スキルの機会主義的な乱用から、この脆弱性を攻撃スタックに組み込んでいる国家レベルの攻撃者まで、攻撃の急増が確認されています。また、この脆弱性の悪用と、以前ランサムウェアグループによって使用されていたツールとの関連を示すインジケーターも観測しています」と同氏は付け加えた。
Unit 42 は火曜日、同社が Contagious Interview として追跡している北朝鮮の脅威グループに帰属される過去の攻撃と重なる活動を確認したと発表した。このグループは、テック業界での職を探している人々のデバイスにマルウェアを展開してきた。
インシデントレスポンス企業の研究者らは、金融サービス、ビジネスサービス、高等教育、テクノロジー、政府、経営コンサルティング、メディア・エンターテインメント、法律サービス、通信、小売など、多くのセクターで侵害の証拠を発見した。
Amazon と Unit 42 によると、中国政府支援の脅威グループからの攻撃試行も確認されている。Amazon は、自社の脅威インテリジェンスチームが、脆弱性が公表されてから数時間以内に Earth Lamia と Jackpot Panda による積極的な悪用試行を観測したと述べた。
攻撃者は、この脆弱性が React Server Components に依存する複数の React フレームワークやバンドラ、すなわち Next.js、React Router、Waku、Parcel RSC プラグイン、Vite RSC プラグイン、RedwoodJS など(おそらく他にも)に影響することから、その広範な潜在的影響を狙っている。
VulnCheck は、この脆弱性に対する公開された PoC(概念実証コード)がほぼ100件観測されており、現時点のバリアントの大半は Next.js を標的としていると述べた。
GreyNoise は、この脆弱性の悪用を試みる360以上のユニークなIPアドレスを観測しており、その悪意あるIPのおよそ5分の2にはアクティブなペイロードデータが含まれていたことから、自動化されたボットネットから、より高度な攻撃者に至るまで広範な関心が寄せられていることが明らかになったと同社は述べた。
これらの攻撃で使用されているマルウェアは多岐にわたり、進行中の目的や手法の多様さを浮き彫りにしている。Unit 42 は、Snowlight、Vshell、NoodlerRat、XMRIG、BPFDoor、Autocolor、Mirai、Supershell といったマルウェアを観測したと述べている。
一部の研究者は、この React の欠陥を、2021年に広範な懸念を呼び、現在もソフトウェアサプライチェーンに長期的な影響を及ぼし続けている Apache Log4j のソフトウェアライブラリにおけるエクスプロイト Log4Shell と比較している。
Shortridge 氏によれば、React や Next.js は Log4Shell ほど広く展開されてはいないものの、潜在的な影響はより深刻であり、React の脆弱性の方が武器化しやすいという。
「配信要素はコマンド&コントロールチャネルであり、つまり一度侵入されてしまうと、攻撃者を見つけるのは非常に困難になります。攻撃者は通常のトラフィックに紛れ込むことができ、おそらく好きなことを何でもできてしまうでしょう」と同氏は語った。
「自分たちが被害に遭ったことに、おそらく気づかないでしょう」と Shortridge 氏は述べた。「自分たちは脆弱ではないと思っていた企業が、実際には脆弱であったことに驚いているケースを私たちは目にしています。」
翻訳元: https://cyberscoop.com/react2shell-attacks-surge-50-victims/
