TokyoBlackHatNews

gbhackers.com 4分で読了

React2Shellの脆弱性、攻撃試行は810万回に到達

React Server Components(RSC)の「Flight」プロトコルにおけるリモートコード実行の脆弱性(CVE-2025-55182として追跡され、一般に「React2Shell」と呼ばれる)が、大規模な悪用キャンペーンの標的となっており、減速する兆しは見られません。

脆弱性の初回公開以降、脅威インテリジェンス企業GreyNoiseは810万回を超える攻撃セッションを記録しており、2025年12月下旬に43万回超でピークを迎えた後、日次の攻撃量は30万〜40万の間で安定しています。

このキャンペーンの規模の大きさは、React、Next.js、そしてRSC Flightプロトコルに依存する多数の下流フレームワークに影響する当該脆弱性が極めて重大であることを浮き彫りにしています。

影響を受ける技術は、しばしば本番レベルの権限で動作するアプリケーションロジックの直前に位置しており、エコシステム全体の脅威アクターにとって高価値の標的となっています。

このキャンペーンを支える悪用インフラは、101か国にまたがる1,071の自律システム番号(ASN)に分散した、8,163のユニークな送信元IPアドレスに及びます。

この地理的・ネットワーク的な多様性は、機会主義的な自動ボットネットから、より高度な脅威オペレーションに至るまで、多数の脅威アクター集団でエクスプロイトが広く採用されていることを示しています。

Image
本番および研究用センサー全体で観測されたIP総数:8,163.

Amazon Web Servicesが送信元ネットワーク分布で優勢で、観測された悪用トラフィック全体の3分の1超を占めています。

上位15のASNで送信元IPのおよそ60%を構成しており、クラウドインフラ提供事業者が大規模攻撃キャンペーンをオーケストレーションするための優先プラットフォームであり続けていることを示しています。

多様なペイロード戦術

このキャンペーンはこれまでに70,000を超えるユニークなペイロードを生成しており、攻撃者による継続的な実験と反復を反映しています。

ネットワーク指紋分析では、700種類のJA4Hハッシュ(HTTPクライアント指紋)と340種類のJA4Tハッシュ(TCPスタック指紋)が明らかになっており、脆弱なエンドポイントに対して多様なツールや自動化フレームワークが投入されていることを示しています。

攻撃パターンからは、多段階の悪用手法が見て取れます。初期の実行証明(PoE)コマンドでは、単純なPowerShellの算術演算を用いて、エンドポイントに最小限の痕跡しか残さずにコマンド実行を検証します。

検証に成功すると、攻撃者は標準的な「-enc」難読化手法に「DownloadString」と即時実行(IEX)プリミティブを組み合わせ、エンコードされたPowerShellステージャーを展開して第2段階のペイロードを取得します。

第2段階のペイロードでは、Windows AMSI(Antimalware Scan Interface)を標的としたリフレクションベースのアンチマルウェア回避手法が用いられており、現代の攻撃ツールチェーン全体で広く文書化されているコモディティ化した悪用手法を反映しています。

観測された悪用IPのおよそ50%は、2025年7月以降にGreyNoiseが初めて確認したものであり、新規にプロビジョニングされたインフラへの強い依存と、VPSやプロキシプール運用に典型的な急速なIPローテーション戦術を示しています。

Image
新規インフラは、動的IPブロッキングの重要性を浮き彫りにする。

このパターンは、少なくとも初期の波においては、標的型侵入活動というよりも、機会主義的で大部分が自動化された悪用であることを示唆しています。

防御上の推奨事項

組織はReactおよびNext.jsのデプロイに対するパッチ適用を直ちに最優先すべきです。ネットワーク防御担当者は、特定された悪用送信元インフラを対象とするGreyNoiseの動的ブロックリストを展開すべきであり、攻撃者インフラの量と広がりを踏まえると、静的なIPベースのブロッキングだけでは不十分なままです。

持続する攻撃量、インフラの多様性、そして急速なIPの入れ替わりは、脅威アクターが React2Shellをコモディティ化したボットネットの悪用キットに統合し続けるにつれて、このキャンペーンが継続することを示しています。

エンドポイント防御担当者は、エンコードされたコマンドパラメータを伴うPowerShell実行、「DownloadString」機能、または特定のAMSI回避リフレクションパターンを組み合わせたプロセス生成イベントを監視すべきです。

PowerShellのスクリプトブロックログ(WindowsイベントID 4104)は、System.Management.Automation.AmsiUtilsとリフレクションベースのフィールド変更を含む不審な組み合わせでアラートを出すよう設定すべきです。

パッチ適用を迅速に進め、高品質なエンドポイント検知を実装する防御側は、この脅威を機会主義的な初期段階のうちに封じ込められる立場にあります。

翻訳元: https://gbhackers.com/react2shell-vulnerability-3/

ソース: gbhackers.com
#AMSIバイパス #CVE-2025-55182 #GreyNoise #Next.js #PowerShell攻撃 #React Server Components(RSC) #React2Shell #クラウド悪用(AWS) #リモートコード実行(RCE) #大規模攻撃キャンペーン

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚