TokyoBlackHatNews

esecurityplanet.com 5分で読了

Google、React2Shellの悪用に関連するサーバー乗っ取りを確認

Googleは、複数の脅威アクター集団がReact Server Componentsの重大な脆弱性を積極的に悪用しており、攻撃者が認証なしで脆弱なサーバーを完全に制御できるようになると警告しています。 

React2Shellとして知られるこの欠陥は、公表後すぐに高価値の標的となり、攻撃者は国家支援のスパイ集団から金銭目的のサイバー犯罪者まで多岐にわたります。

「…正規のエクスプロイトの数とその能力が大幅に拡大しており、メモリ内Next.js Webシェルの展開機能も含まれます」と、Googleの研究者は述べています

React2Shellは重大なリスクを伴う

CVE-2025-55182として追跡されているReact2Shellは、React Server ComponentsおよびNext.jsの特定バージョンに影響します。これらは現代のWebアプリケーションの相当部分を支えるフレームワークです。 

悪用に認証が不要なため、影響を受けるバージョンを使用しているインターネット公開の未パッチ適用アプリケーションは、直ちにリモート侵害にさらされる可能性があります。この脆弱性のCVSSスコアは10.0です。

Googleの完全なアドバイザリでは、複数の脅威グループが未パッチ環境全体にマルウェアを展開するためにこの欠陥を悪用している実態が詳述されており、組織がReactおよびNext.jsのデプロイ状況を見直す緊急性を強調しています。

React2Shellを悪用する脅威アクター

Googleの研究者は、公表直後にReact2Shellを悪用する複数のアクティブなキャンペーンを特定しました。 

中国に関連するスパイ集団は、観測されたアクターの中でも最も高度な部類に入ります。 

UNC6600として追跡されるあるグループは、この脆弱性を利用してMINOCATトンネラーを展開しました。これは侵害されたネットワークへの秘匿性の高い長期アクセスを維持するために設計されたツールです。

別のグループであるUNC6603は、HISONICバックドアの更新版亜種を展開していることが観測されています。これはCloudflareなどの正規のクラウドサービスにコマンド&コントロール(C2)トラフィックを紛れ込ませます。 

この手法により、攻撃者は通常のネットワークトラフィックの中に悪意ある活動を隠せるため、検知と対応が難しくなります。

金銭目的の攻撃者もこの欠陥を悪用しています。少なくとも1件の確認された事例では、脅威アクターがReact2Shellを用いて暗号資産マイナーXMRigをインストールし、サーバー資源を乗っ取って暗号資産を生成していました。 

キャンペーンで観測された追加のマルウェアファミリーには、二次ペイロードを取り込むSNOWLIGHTダウンローダーや、データ窃取と永続的アクセスに一般的に用いられるCOMPOODバックドアが含まれます。

React2Shellが高リスクである理由

React2Shellは、React Server Componentsがサーバーサイドレンダリングのロジックを処理する方法の欠陥に起因し、攻撃者がリモートから任意のコマンドを実行できるようになります。 

この脆弱性は有効な認証情報を必要としないため、従来のアクセス制御を完全に回避します。

Googleが、機能するエクスプロイトコードが現在公開されていることを確認したことで、リスクはさらに高まっています。 

初期の概念実証(PoC)エクスプロイトの一部は不完全または動作しないものでしたが、メモリ内Webシェルをインストールできる信頼性の高いツールが現在流通しています。 

これにより攻撃者の参入障壁が大幅に下がり、広範な悪用が起きる可能性が高まります。

認証不要のアクセス、最大深刻度、そして公開されたエクスプロイトコードという組み合わせにより、パッチ適用を遅らせる組織にとってReact2Shellは特に危険です。

React2Shellに対する多層防御

セキュリティチームは、攻撃者がすでに初期アクセスを試みている、または達成している可能性があると想定すべきです。 

効果的な対応には、迅速な修正、検知強化、封じ込め制御を組み合わせた多層的アプローチが必要です。

  • 影響を受けるReactサーバーコンポーネントまたはNext.jsのデプロイを直ちに特定し、最新のセキュリティパッチを適用する。
  • 不審なコマンド実行、外向き接続、異常なリソース使用について、アプリケーションおよびサーバーログを確認する。
  • WAF、RASP、ランタイム監視を導入して悪用の試行、メモリ内Webシェル、Node.jsの悪用を検知する。
  • 最小権限での実行、コンテナのハードニング、セグメンテーションを徹底し、悪用後の影響を限定する。
  • 外向きネットワークトラフィックを制限し、DNSおよびエグレス活動を監視して、ペイロード配信とコマンド&コントロールを妨害する。
  • ハンティングによって永続化を探索し、影響を受けたシステムを再構築し、露出した認証情報をローテーションすることで、侵害の可能性を前提とする。

これらの対策を組み合わせることで、セキュリティチームは露出を減らし、進行中の悪用を検知し、攻撃者が足場を得た場合の被害範囲を封じ込めることができます。

React2Shellの急速な悪用は、現代のソフトウェア開発におけるよくある課題を浮き彫りにしています。広く使われるフレームワークの脆弱性は、多くの環境にわたって迅速に広範なリスクをもたらし得ます。 

これらのフレームワークは本番アプリケーションやデプロイパイプラインに深く統合されていることが多いため、単一の欠陥が同時に数千の組織へ影響を及ぼす可能性があります。  

このパターンは、より広範なソフトウェアサプライチェーンセキュリティの課題を反映しており、共有依存関係やビルドシステムが、単一の脆弱性の影響を無数の下流環境へ増幅し得ることを示しています。

翻訳元: https://www.esecurityplanet.com/threats/google-finds-server-takeovers-linked-to-react2shell-exploitation/

ソース: esecurityplanet.com
#CVE-2025-55182 #Next.js #React Server Components #React2Shell #Webシェル #ゼロデイ/脆弱性悪用 #ソフトウェアサプライチェーンセキュリティ #リモートコード実行(RCE) #国家支援型サイバー攻撃 #暗号資産マイニング(XMRig)

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布