攻撃が続く中、React2Shellエクスプロイトがインターネット上に氾濫

出典: Victor Koldunov via Alamy Stock Photo

React2Shellの概念実証（PoC）エクスプロイトが、先週の脆弱性公開を受けてインターネット上に怒涛のように出回っている。セキュリティ研究者によれば、その大半は偽物・非有効・AI生成の粗悪なコードだが、中には非常に危険なものも確認されている。

CVE-2025-55182は12月3日に最大CVSSスコア10で公開され、即時の緩和策を求める緊急の呼びかけを引き起こした。このリモートコード実行（RCE）の脆弱性は、React Server Components（RCS）プロトコルにおける安全でないデシリアライゼーション問題に起因しており、Reactオープンソースソフトウェアだけでなく、Next.jsなどの他のフレームワークにも影響を与える。

この重大な脆弱性は公開直後から悪用され始め、Amazonの脅威インテリジェンスは複数の中国関連の脅威グループによる攻撃を観測した。研究者が「React2Shell」と呼ぶこの脆弱性に対する攻撃は、今週さらに増加しており、あらゆるタイプの日和見的な脅威アクターが、クリプトマイナー、インフォスティーラー、バックドアなどを用いたキャンペーンを展開している。

こうした攻撃の一部では、過去1週間でGitHubやその他のプラットフォームに氾濫した公開PoCエクスプロイトが利用されている。サイバーセキュリティベンダーによると、これらエクスプロイトの大半はゴミ同然だが、研究者たちは注目すべき例やトレンドもいくつか指摘している。

粗悪コードの海に浮かぶReact2Shellエクスプロイト

今週公開された脅威レポートで、Trend Microの研究者はReact2Shell向けの公開エクスプロイトを約145件特定したと述べているが、そのほとんどは脆弱性のトリガーに失敗していた。一部のPoCは壊れているか偽物であるか、あるいはバックドアやその他のマルウェアを含む完全な悪意あるコードだった。

しかしTrend Microは、研究チームおよびインフォセックコミュニティの他のメンバーによって検証され、標的型ペネトレーションテストに利用可能なエクスプロイトをいくつか挙げている。

金曜日に公開されたブログ記事で、VulnCheckの最高技術責任者（CTO）Jacob Baines氏は、React2Shellエクスプロイトの氾濫は「驚異的」であり、同社がこれまでにレビューしてきたどのケースよりも多いと述べた。公開されているコードの多くは無効で、防御側や研究者にとってノイズを生んでいるだけだが、VulnCheckの研究チームはGitHub上でいくつか目を引くエクスプロイトを発見した。

例えばBaines氏は、Godzillaをロードするロジックを含むエクスプロイトを取り上げている。GodzillaはインメモリWebシェルで、注目すべき脅威キャンペーンや実際の攻撃で使用されてきた。「Godzillaを展開する公開PoCが存在するということは、この手法が実際の環境で使われることがほぼ確実であることを意味します」と同氏は記している。

別のエクスプロイトには、中国語話者の開発者によるGUIベースのツールが含まれており、Unicodeを用いたWebアプリケーションファイアウォール（WAF）のバイパス機能を備えていた。さらに別のエクスプロイトは、異なる形でWAFに焦点を当てている — ペイロードを投下する代わりに、React2Shellの悪用をブロックする軽量なWAFを展開するのだ。「これは予想外だが巧妙なひねりです。脆弱性を利用して、その脆弱性から防御するのです」とBaines氏は書いている。

WAFバイパスに要注意

Trend Microの研究者によると、多くの公開エクスプロイトには、WAFバイパスと自動脆弱性スキャンという2つの共通した特徴がある。WAFバイパスが注目されるのは、CloudflareやAWSといった企業が、React2Shell攻撃をブロックするよう設計された新しいWAFルールを、CVE-2025-55182の公開前にすでに導入していたためだ。

しかし、脅威アクターも研究者も、これらのWAF防御の一部を回避する方法を見つけている。Trend Microの研究者は、こうした防御によって顧客が誤った安心感を抱く可能性があると指摘している。

例えば研究者らは、単に「 __proto__ 」プロパティを含むリクエストをブロックするWAFルールが有効であるという、よくある誤解を挙げている。しかし実際にはそうではない。「私たちは多数のWAFバイパスを確認しています」と研究者らは述べている。

Trend Microによれば、効果的なWAFルールは、$@ チャンク参照、resolved_model 文字列、constructor:constructor パターン、_formData.get パターンもブロックしなければならない。

VulnCheckのシニア脆弱性研究者であるCale Black氏は、これまでのところ、ほとんどのWAFバイパスの試みは不十分だと述べる。「攻撃者たちは、遅延した、あるいはカスタムの保護を日和見的に悪用するために、React2ShellエクスプロイトにWAFバイパスを重ねているように見受けられますが、VulnCheckによるエクスプロイト亜種の分析に基づくと、こうしたよりニッチなバイパスが大手ベンダーに広く、あるいは広範に適用可能である可能性は低いと考えています」と同氏は語る。

VulnCheckの研究者が分析したWAFバイパスの大半は、一般的なエンコードやJavaScript難読化技術を用いていたが、いくつか例外もある。「React Flight Protocolを悪用する特定の亜種が存在し、単純なパターンマッチングによってネイティブソリューションを依然としてバイパスできる可能性があります — こうした亜種が登場し進化するにつれ、現実においてWAFルールがどれほど有効なのかについての理解が深まっていきます」とBlack氏は述べている。

Next.jsフレームワークを維持しているソフトウェアベンダーのVercelは、自社のWAFルールをバイパスしてReact2Shellの悪用に成功する手法を対象とした特別なバグバウンティプログラムを開始した。このプログラムはHackerOne上で運営されており、高深刻度のバイパスには25,000ドル、クリティカルなバイパスには50,000ドルを支払う。