Microsoftによると、攻撃者はReact2Shellの欠陥を通じて、すでに「多様な組織にまたがる数百台のマシン」を侵害しており、そのアクセスを利用してコードを実行し、マルウェアを展開し、場合によってはランサムウェアを送り込んでいるという。
レドモンドは今週のブログ投稿で、攻撃者がCVE-2025-55182(通称「React2Shell」)を積極的に悪用していると述べた。これはReact Server Componentsに存在する重大な欠陥で、脆弱なサーバー上で任意のコードを実行するために悪用され得る。
Microsoftの脅威インテリジェンスチームによれば、悪用はすでに概念実証(PoC)の段階を大きく超えて広がっており、複数の業界と地域にわたって数百の侵害システムが確認されている。
同社は、攻撃者がこの欠陥を悪用して任意のコマンドを実行し、マルウェアを投下し、被害者環境のより深部へ横展開していると述べた。多くの場合、その活動は正規のアプリケーショントラフィックに紛れ込む形で行われるという。
React2Shellは今月初め、研究者がReact Server Componentsのバグが攻撃者の制御するコードの実行に悪用され得ると警告したことで、表面化した。このバグはすぐに他の弱点や設定不備と組み合わされ、中国およびイランに関連する脅威活動に結び付けられた初期キャンペーンでは、露出したサーバーが大規模に探索された。数日後の別の開示の波では、Reactツール群に追加の「SecretLeak」バグがあることが明らかになり、React2Shellの影響範囲を理解し始めたばかりの開発者をさらに動揺させた。
Microsoftの最新の調査結果は、公表後に悪用の試行が急速に増加したことを示しており、攻撃者は成功したエクスプロイトを用いて、メモリ常駐型ダウンローダーや暗号資産マイナーを含むマルウェアを、露出したJavaScriptアプリケーションのバックエンドへ送り込んでいるという。
他の脅威インテリジェンスチームも、現場で同様の状況を確認している。セキュリティ企業S-RMは、React2Shellが初期侵入ベクターとして用いられ、企業ネットワークへの侵入とランサムウェアの展開に至った実際の侵害事案にすでに対応したと述べた。
「S-RMが、金銭目的の脅威アクターがこの脆弱性を利用してサイバー恐喝攻撃を実現するのを観測したのは今回が初めてであり、これまで主にバックドア型マルウェアや暗号資産マイナーの導入に使われた事例を記録してきた他の公開報告と比べても、この脆弱性の既知の影響がエスカレートしていることを示している」と、同社は述べた。
テレメトリーは、産業規模での悪用も示している。GreyNoiseの創業者Andrew Morrisは、開示から数週間が経過した後も悪用が激しいままであると、LinkedInに投稿した。
「GreyNoise Intelligenceの集計では、React2Shellは引き続き爆発的に増えている」とMorrisは述べた。「私たちは、かなりの数の異なるマルウェアペイロードを積み上げ続けている。脆弱性を悪用している累積ネットワーク数は、開示以降ほぼ毎日、過去最高に達しており、悪用は依然として非常に高い。」
この規模は、React Server Componentsが広く採用されていることを反映している。パフォーマンス向上のためにレンダリング作業をサーバー側へオフロードするよう設計されたこの技術は、現在では無数の本番アプリに組み込まれており、ある推計ではクラウド環境の39%がReact2Shellの欠陥に対して脆弱だとされている。
既知のReact2Shell被害者の正確な数はまだ不明だが、Palo Alto Networksは、これまでに50を超える組織が侵害されたことを確認している。ただし、実数はさらに多い可能性が高い。研究者は先週、このバグに脆弱なシステムの半数が未だパッチ未適用のままだと警告していた。
対応に追われている組織に対し、Microsoftは、利用可能なパッチの適用、露出しているReact Server Componentのデプロイの監査、悪用の兆候の監視をチームに促した。悪用がなお急増し、パッチ適用も不完全なままである以上、React2Shellは依然として悪用に対して無防備な状態が続いている。 ®
