Microsoftは、React Server ComponentsおよびNext.jsフレームワークに影響する、重大な事前認証リモートコード実行(RCE)脆弱性であるCVE-2025-55182に関する包括的なガイダンスを公開しました。
CVSSスコアは最大の10.0が付与されており、この脆弱性により攻撃者は単一の悪意あるHTTPリクエストを通じて脆弱なサーバー上で任意のコードを実行でき、現代のReactベースのWebアプリケーションにとって前例のないリスクをもたらします。
CVE-2025-55182は、React2Shellとしても特定され、CVE-2025-66478と統合されました。これは、React Server Componentsがクライアントとサーバー間で通信するために使用するFlightプロトコルを標的としています。
この脆弱性は、影響を受けるReact Server Componentsのバージョンにおけるペイロード検証の不備に起因し、攻撃者がプロトタイプ汚染を引き起こし、その後のリモートコード実行につながる悪意ある構造を注入できるようになります。
Microsoft Defenderの研究者は、2025年12月5日から始まった活発な悪用を検知しており、レッドチーム評価と実際の脅威アクターの双方がこの脆弱性を悪用していました。
攻撃者は多様な組織にまたがって数百台のマシンの侵害に成功しており、侵害後のペイロードの大半はWindowsおよびLinux環境の双方に暗号通貨マイナーを配布するものでした。
この脆弱性が特に危険なのは、デフォルトで悪用可能であり、特別な設定や開発者のミスが不要であることに加え、ほぼ100%の信頼性を示す公開済みの概念実証(PoC)エクスプロイトが存在するためです。
侵害後の戦術
Microsoft Defenderのテレメトリによると、攻撃者は悪意あるシリアライズ済みオブジェクトを含む細工されたPOSTリクエストを、React Server Componentsを実行しているアプリケーションに送信することでこの脆弱性を悪用します。
バックエンドサーバーでデシリアライズされると、デフォルトのコンポーネント信頼メカニズムにより、攻撃者が提供した入力がNodeJSランタイム上で実行されます。
侵害後の活動には、Cobalt Strikeサーバーへのリバースシェル接続の確立や、VShellおよびEtherRATのリモートアクセストロイの木馬、SNOWLIGHTのメモリベースのマルウェアダウンローダー、ShadowPAD、XMRig暗号通貨マイナーなど、多様なマルウェアペイロードの展開が含まれます。
攻撃者は高度な回避手法を用い、攻撃者が管理するCloudFlare Tunnelエンドポイントからペイロードをダウンロードし、バインドマウントを利用して悪意あるプロセスをシステム監視ツールから隠します。
資格情報窃取の作戦では、Azure、AWS、Google Cloud Platform(GCP)、Tencent Cloud向けのAzure Instance Metadata Service(IMDS)エンドポイントを標的にし、ラテラルムーブメントを可能にするIDトークンを取得します。
組織では、OpenAI APIキー、Databricksトークン、Kubernetesのサービスアカウント資格情報など、AIおよびクラウドネイティブの資格情報の収集が試みられたことが確認されています。
緩和策
Microsoftは、複数の側面にわたる即時対応を推奨しています。組織はまず、node_modulesディレクトリ内の影響を受けるパッケージ(react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopack、next)を特定し、文書化された影響範囲と照合してバージョンを検証する必要があります。
React 19.0.0から19.2.0、およびNext.js 14.3.0-canary.77から16.0.6のバージョンが影響を受け、修正が必要です。
インターネットに公開されているサービスを優先して直ちにパッチ適用することが重要です。影響を受ける組織は、React 19.0.1、19.1.2、または19.2.1、およびNext.js 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、または16.0.7を含む修正版へアップグレードする必要があります。
Microsoft Defender Vulnerability Management(MDVM)は、脆弱なパッケージのインベントリを可視化し、組織インフラ全体にわたる修正状況の追跡に役立ちます。
Microsoft Defender for Cloudの顧客は、セキュリティエクスプローラーテンプレートを使用して、脆弱なコンテナーイメージを実行している露出したコンテナーや、脆弱な仮想マシンを特定できます。
パッチ適用までの期間における代替コントロールとして、Azure Web Application Firewall(WAF)のカスタムルールでエクスプロイトのパターンをブロックできます。
Microsoftは、Azure Network Security Blogにて詳細なルールガイダンスとJSONの例を公開しており、新たな攻撃バリエーションの出現に応じて継続的に更新しています。
組織は、React Server Componentsの悪用試行に対するMicrosoft Defenderアラートを有効化し、エンドポイント、コンテナー、クラウドのシグナルを相関させて、確度の高い脅威トリアージを行うべきです。
Microsoft Defender XDRの顧客は、すべてのオペレーティングシステムにわたってCVE-2025-55182の活動を特定する拡張検知フレームワークの恩恵を受け、自動攻撃阻止機能と統合されています。
Microsoft Defender for Cloudは、脆弱なコンテナーおよびクラウド仮想マシンに対するエージェントレススキャンのサポートを提供します。
セキュリティチームは、Microsoft Security Exposure Managementの自動化された攻撃経路分析を活用して、露出したリソースを特定し、Azure、AWS、GCPプラットフォーム全体にわたる環境内の潜在的な侵害経路をマッピングできます。
翻訳元: https://gbhackers.com/react2shell-rce-vulnerability/
