高速に悪用が進むReactのリモートコード実行脆弱性に対して、インターネットに面したシステムの半数が依然として未パッチのままであり、その一方で、格安のクリプトマイナーから国家関与が疑われる侵入ツールまで、十数に及ぶアクティブな攻撃クラスターによる悪用が爆発的に増加している。
これはWizのAIおよび脅威リサーチ担当VPであるAlon Schindel氏の評価で、同氏は述べているように、CVE-2025-55182 ― 「React2Shell」と名付けられたReactサーバーサイドの脆弱性 ― は現在、大規模にアクティブ悪用されており、研究者らは過去24時間だけでも、少なくとも15の異なる侵入クラスターを観測している。
Wizの最新テレメトリによると、脆弱であることが判明している公開リソースのおよそ50パーセントが、いまだに未パッチのコードを実行しており、攻撃者に十分な先行時間を与えている。
今月初めに初公開されたこの重大度クリティカルの欠陥は、React Server ComponentsおよびNext.jsのような依存フレームワークに影響し、Reactのサーバーサイドパッケージにおける安全でないデシリアライズに起因する。これにより、認証されていない攻撃者が細工したリクエストを送信してリモートコード実行を達成できる。The Registerが以前に報じたように、このバグは急速に攻撃者の関心を集めた。その理由は、特に単一の公開エンドポイントがはるかに大きな環境への足掛かりとなりうるクラウドホスティング環境において、ReactがモダンなWebスタックで広く使われているためだ。
当初は機会的なスキャンとクリプトマイニングから始まったものが、今ではより混沌とした様相を呈している。Wizによると、Kinsing、C3Pool、カスタムローダーといったツールを用いるおなじみのクリプトマイニングオペレーションが支配的な「コモディティ」型の悪用と、ポストエクスプロイト用フレームワークや特注マルウェアを展開する、より意図的な侵入セットとの間に明確な分岐が見られるという。
観測されたクラスターの中には、マイナーのドロッパーを装いながら密かにシークレットを流出させるPythonベースのキャンペーン、ハンズオンキーボード型のオペレーションに用いられるSliverコマンド&コントロール基盤、到達可能なすべてのサーバーサイド*.jsファイルに体系的に感染を広げるJavaScriptファイルインジェクタなどが含まれる。Wizはまた、以前は下火になっていたEtherRatバックドアの亜種が、この一連の悪用のために再び引っ張り出されている兆候も報告している。
技術的な高度化もじわじわと進んでいる。複数の不正行為者が、タイムスタンプの改ざん、ログの最小化、その他の痕跡削除によってインシデントレスポンスを妨害しようと積極的に試みている。こうしたアンチフォレンジック技術は、自らが追跡されることを想定し、長期滞在を意図するオペレーターの存在を示唆していると、Wizは警告した。
他のセキュリティ企業も、この評価を裏付けつつある。Palo Alto NetworksのUnit 42チームは、CVE-2025-55182の悪用を北朝鮮および中国の脅威グループと関連付けている。同チームは特定の攻撃者グループに断定はしなかったものの、ツール群や再利用されているインフラは、場当たり的なクリプトマイニングというより、長期的な侵入活動に近い様相だと述べている。
「Unit 42は、北朝鮮(DPRK)のContagious Interviewツール群と重なるとされる活動を確認しましたが、現時点では正式な属性付けは行っていません。Contagious Interviewとは、DPRKと関連付けられた脅威アクターがリクルーターを装い、テック業界の求職者のデバイスにマルウェアをインストールするキャンペーンです」とUnit 42は述べた。「さらに、LinuxバックドアBPFDoorの事例も観測しています。これは、中国と関連付けられた脅威アクターRed Menshenに帰属されるLinuxインプラントです。」
Reactが支配的な地位にあることから、脆弱なコードはマイナーな趣味プロジェクトにとどまらず、スタートアップ、エンタープライズ、クラウド依存度の高い組織などの本番システム内部にも存在している。そうした多くのデプロイメントは設計上インターネットに面しており、パッチ適用は必ずしも容易ではない。
多くの現代的なWeb脆弱性と同様に、危険なのはバグそのものだけでなく、それがどれだけ迅速に「産業化」されるかだ。React2Shellはすでにその一線を越えており、脆弱な面の半分が依然として露出したままである以上、攻撃者がすぐに次の標的へ移る動機はほとんどない。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/12/vulnerable_react_instances_unpatched/
