Microsoftの研究者は、React Server Componentsにおける重大な脆弱性が悪用された結果、幅広い組織にわたって「数百台のマシン」が侵害されたと警告した。月曜日に公開されたブログ投稿によると。
CVE-2025-55182として追跡されているこの脆弱性により、React Server Functionのエンドポイントに送信されるペイロードの安全でないデシリアライズが原因で、未認証の攻撃者がリモートコード実行を達成できる。
Reactは、ユーザーインターフェースを構築するために使用されるJavaScriptライブラリである。ブログによれば、React Server Componentsは、フレームワーク、パッケージ、バンドラーからなるエコシステムで、React 19アプリケーションがロジックの一部をブラウザではなくサーバー上で実行できるようにする。
React2Shellと名付けられたこの欠陥は深刻度スコアが10で、既定の構成が脆弱と見なされるため、悪用が容易だとされている。
Microsoftは、このフレームワークが企業環境で広く使用されており、React、またはReactを基盤とするアプリケーションを使用する数千の組織にまたがって、数万台のデバイスが稼働していると指摘した。
Google Threat Intelligence Group(GTIG)の研究者は金曜日のブログ投稿で、複数のスパイ活動者と便乗型の犯罪グループがReact2Shellを標的にしていると警告した。
GTIGによれば、UNC6600として追跡されている中国に関連するスパイグループが、この欠陥を悪用して、攻撃者が侵害されたシステムと秘匿通信を維持するのに役立つMinocatトンネラーを配布している。.
さらに、中国に結び付く別の2つの脅威アクター(UNC6588およびUNC6603)が、この脆弱性を狙った攻撃で被害者にバックドアを投下しているのが確認されている。
GTIGの研究者は、イランに関連すると疑われるアクターがこの欠陥を悪用していることも観測したが、その活動に関する追加の詳細は提供しなかった。
一方、Palo Alto Networksの研究者はKSwapDoorと呼ばれる新しいバックドアの展開を確認しており、これは専門的に設計されたリモートアクセスツールだという。研究者によれば、このツールは侵害されたサーバー同士が相互に通信できる内部メッシュネットワークを構築するために使用される。
Microsoftによると、攻撃者はReact2Shell攻撃において、既知のCobalt Strikeサーバーへのリバースシェルを含む任意のコマンドを実行していることも確認されている。また、永続化のためにMeshAgentなどのリモート監視・管理ツールを使用している。
クラウド認証情報の窃取
Microsoftは、この攻撃の波でクラウドサービスの認証情報が標的となっており、Azure、Amazon Web Services、Google Cloud Platform、Tencent Cloud向けのAzure Instance Metadata Serviceエンドポイントの認証情報も含まれると述べた。
同社によれば、悪用活動は早ければ12月5日から始まっていた。この脆弱性は、セキュリティ研究者のLachlan Davidsonによって、Metaのバグバウンティプログラムを通じて11月下旬にReactに報告された。
Reactは今月初めに元の欠陥に対するパッチを公開したが、先週後半には、CVE-2025-55814およびCVE-2025-67779を含む追加の欠陥が開示された。
翻訳元: https://www.cybersecuritydive.com/news/react2shell-attacks-expand-multiple-sectors/808030/
