TokyoBlackHatNews

esecurityplanet.com 5分で読了

60万以上のサイトが重大なReact Server Componentsの脆弱性にさらされる

Shadowserver Foundationが新たに公開した分析によると、64万4,000以上のドメインがReact Server Componentsに存在する重大な脆弱性にさらされていることが判明しました。 

更新されたスキャンデータによると、この欠陥は16万5,000以上のIPアドレスに影響を与えています。 

攻撃者はこの脆弱性を悪用して「コンテナ化されたワークロードへのインタラクティブでクラウドを認識したアクセスを獲得し、シークレットを積極的に収集し、ローカル防御を弱体化させ、クリプトマイニングやバックドアの導入を通じてアクセスを収益化している」とWizの研究者は述べています

Reactのデシリアライズ脆弱性を理解する

CVE-2025-55182は、React Server Components(RSC)における不適切な入力デシリアライズに起因します。 

攻撃者は悪意のあるRSCペイロードを作成することで、サーバー側のデコードロジックを悪用し、一連のガジェットチェーンをトリガーして、最終的にサーバー上でリモートコード実行(RCE)を引き起こすことができます。 

RSCはリクエスト/レスポンスパイプライン上に位置しているため、攻撃が成功すると認可制御をバイパスし、任意コード実行を行い、サーバーの完全性とアプリケーションデータの両方を危険にさらす可能性があります。

初期の分析ではNext.jsに大きく焦点が当てられていましたが、Wiz Securityの調査によると、この問題はより広範であり、Waku、RSCプラグインを用いたVite、脆弱なdecodeReplyロジックを呼び出すカスタムのネイティブReactサーバーなど、RSCを実装している他のプラットフォームにも影響します。 

特にNext.jsでは、RSCフローはnext-actionヘッダーを通じてデフォルトで公開されており、インターネットに公開されたあらゆるアプリに対して、攻撃の実行を容易にしています。カスタムまたはあまり一般的でないフレームワークにおいても、攻撃者はRSCエンドポイントさえ特定できれば、同じ脆弱なコードパスに到達できます。

Wizはすでに実際の悪用を観測しており、攻撃者がこのバグを利用してクラウドコンテナ内でインタラクティブシェルを取得し、環境変数やシークレットを収集し、メタデータサービスを照会し、AWS、Git、SSH、その他の開発ツールの認証情報を流出させていることを確認しています。 

一部のキャンペーンでは、Kubernetesやその他のクラウドワークロードにクリプトマイナーを展開しており、さらに進んだものでは、持続的なコマンド&コントロールのためにSliverバックドアをインストールしています。

重大度の高さ、インターネット規模での露出、そして実際に野放し状態で悪用が確認されていることが相まって、CVE-2025-55182は最優先で対処すべき問題となっています。 

React Server Componentsを利用している組織は、Next.js、代替フレームワーク、カスタム実装のいずれであっても、脆弱なパッケージがアップグレードされ、デプロイが完全に検証されるまで、リスクが高まっていると想定すべきです。

React Server Componentsの脆弱性を軽減する方法

組織は、即時のパッチ適用と、より強力なアプリケーションおよび運用上のコントロールを組み合わせることで、CVE-2025-55182によるリスクを低減できます。 

  • 公式のReactパッチを適用し、CI/CDパイプラインが脆弱なバージョンを再デプロイしないようにしてください。
  • React Server Componentsを使用しているすべてのアプリケーションを棚卸しし、影響を受けるReactパッケージがないかコードベースおよびロックファイルをスキャンします。
  • ログとテレメトリを監視し、異常なレンダリング動作、予期しないサーバーサイド実行、または過去の悪用の兆候がないか確認します。
  • 一時的なハードニング対策を実装します。たとえば、強化されたWAFルール、機微なエンドポイントの制限、RSC操作周辺のログ強化などです。
  • より厳格なランタイムおよびコンテナ制御を適用し、ファイルシステムアクセスを制限し、シェルユーティリティを制限し、アウトバウンドのエグレスフィルタリングを実施します。
  • アプリケーション階層をセグメント化し、ラテラルムーブメントを制限するとともに、可能な限りnext-action RSCフローを制限またはゲートします。
  • 開発チームにこの脆弱性について教育し、すべての環境でパッチ適用を統一し、潜在的な悪用の過程で漏えいした可能性のあるシークレットをローテーションします。

これらの対策は、より安全で一貫性のあるデプロイ環境の実現に寄与します。

今回のインシデントは、最新のWebフレームワークの奥深くに埋もれた脆弱性が、組織が自らのリスクに気づくはるか前に、インターネット規模の露出につながり得るという、より広範な傾向を浮き彫りにしています。 

サーバーサイドレンダリング、分散コンポーネント、自動ビルドパイプラインが標準となる中で、単一のアーキテクチャ上の欠陥が、数十万ものデプロイメントに波及する可能性があります。

こうした複雑性の高まりは、多くの組織が同様のフレームワークレベルのリスクの影響を軽減するためにゼロトラストの原則を採用し始めている理由の一つでもあります。

翻訳元: https://www.esecurityplanet.com/threats/over-600k-sites-exposed-to-critical-react-server-components-flaw/

ソース: esecurityplanet.com
#CVE-2025-55182 #Next.js 脆弱性 #React Server Components #Webアプリケーションセキュリティ #クラウドコンテナ攻撃 #ゼロトラストセキュリティ #バックドア・マルウェア(Sliver) #パッチ適用と脆弱性管理 #リモートコード実行(RCE) #暗号資産マイニング(クリプトマイニング)

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布