- React2Shell(CVE‑2025‑55182)が悪用され、世界中で数百のシステムが侵害
- 中国関連グループと北朝鮮が、この欠陥を永続化、スパイ活動、暗号資産マイニングに悪用
- Reactを直ちに19.0.1、19.1.2、または19.2.1へパッチ適用してください。
React Server Components(RCS)に存在する重大度クリティカルの脆弱性React2Shellは、すでに「多様な組織群にまたがる数百台のマシン」を侵害するために使用されていました。
これはMicrosoftによるもので、同社の最新ブログ投稿では、この脆弱性と、迫り来る攻撃への防御方法が解説されています。
12月上旬、ReactチームはRCSに影響する、複数のパックの複数バージョンにまたがる認証前バグの詳細を記したセキュリティアドバイザリを公開しました。このバグは現在「React2Shell」と呼ばれ、CVE-2025-55182として追跡され、深刻度スコアは10/10(クリティカル)とされています。
任意コマンド、ドロッパー、暗号資産マイナー
Reactは現存するJavaScriptライブラリの中でも最も人気の高いものの一つで、今日のインターネットの大部分を支えていることから、研究者らは悪用が差し迫っていると警告し、遅滞なく修正を適用してシステムを19.0.1、19.1.2、19.2.1へ更新するよう、全員に強く促しました。
そして今、Microsoftは、これらの警告が現実になったと述べています。多数の脅威アクターがこの欠陥を悪用し、任意のコマンドを実行し、マルウェアを投下し、標的インフラ内を横方向に移動しつつ、他の正当なトラフィックに紛れ込むことに成功したというのです。
Redmond(Microsoft)も、Reactが調査結果を公表した後に攻撃数が増加したことを強調しており、より多くの脅威アクターが参入して、メモリ常駐型ダウンローダーや暗号資産マイナーを展開するようになったとしています。
2週間前、Amazon Web Services(AWS)は、2つの中国関連グループであるEarth LamiaとJackpot Pandaが、このバグを用いてさまざまな業種の組織を標的にしているのが確認されたと報告しました。
標的はラテンアメリカから中東、東南アジアまで世界各地に及びます。金融サービス企業、物流、小売、IT企業、大学、政府機関がいずれも攻撃を受けており、攻撃の目的は永続化の確立とサイバースパイ活動だとされています。
その後まもなく、研究者らは北朝鮮の国家支援型脅威アクターも同様の行為を行っていることを観測しました。唯一の違いは、北朝鮮側がこの欠陥を利用して、EtherRATと呼ばれる新しい永続化メカニズムのマルウェアを展開している点です。Earth LamiaとJackpot Pandaが行っていたものと比べ、EtherRATは「はるかに高度」であり、少なくとも3つの文書化されたキャンペーンの手法を組み合わせた、永続的アクセス用インプラントを表しています。
