Next.jsを保守する企業VercelのTalha Tariq氏と同僚たちは、React2Shellが発見され、感謝祭の直後に公表された際、睡眠不足の夜や週末を幾度となく耐え抜いた。この欠陥はインターネットの基盤インフラの広範囲に影響し、脆弱なReact Server Componentsに依存するオープンソースライブラリであるNext.jsにとって重大なリスクとなった。
彼はすぐに、複数のReactフレームワークとバンドラーに影響し、デフォルト設定のままでも未認証の攻撃者がリモートコード実行を達成できる最大深刻度の脆弱性CVE-2025-55182という大問題に直面していることに気づいた。
「文字どおり、インターネット上の誰もが最初に触れる層です。ですからリスクと露出という観点では、考え得る限り最悪に近い」と、同社CTOのTariq氏はCyberScoopに語った。
Tariq氏とチームは、開発者がこの欠陥をMetaに報告してから数時間後に、大手クラウドプロバイダー、オープンソースコミュニティ、テクノロジーベンダーとともに大規模な対応を開始し、調整を主導した。Metaは当初Reactを作成・保守していたが、10月にオープンソースライブラリをReact Foundationへ移管している。
Reactチームは4日後、パッチとともにこの欠陥を公表した。その時点までにVercelや他の多くの影響を受けたプロバイダーが、被害を最小化するためのプラットフォームレベルの緩和策を実装していた。
VercelはReactとの深い統合と理解を有していたため、業界全体に向けて調査し知見を共有する責任が相対的に大きかった。そうすることで、パッチの有効性を検証し、脆弱性が公表された後に下流の顧客が潜在的リスクを理解できるようにする助けになる、とTariq氏は述べた。
「週末も夜も、誰も眠れなかった」と彼は言い、Vercelにとって少なくとも2週間は24時間365日の対応だったと付け加えた。脆弱性の公表後も、欠陥を悪用したりパッチを回避したりしようとする攻撃者との“いたちごっこ”へと発展し、対応は続いた。
サイバー犯罪者、ランサムウェア集団、国家支援の脅威グループはいずれも、脆弱性を悪用するための迅速な動きを取っていた。
Palo Alto NetworksのUnit 42は、12月中旬までに、この欠陥の悪用を伴う攻撃によって60を超える組織が直接的な影響を受けたことを確認した。VulnCheckによれば、公開され有効なエクスプロイトも当時までに過去最高となり、200件近くに達していた。
サイバーセキュリティ企業GreyNoiseは水曜日の更新で、React2Shellを狙った悪性活動は「持続的で高い水準」のペースにあると述べた。同社のセンサーは欠陥の公表以降、810万回超の攻撃試行を観測しており、12月最終週にピークを迎えた後も、現在の日次ボリュームは30万〜40万の範囲で推移している。
Vercelはまた、Webアプリケーションファイアウォールを回避する検証済み手法1件につき5万ドルを提示する、急きょ手配したHackerOneのバウンティプログラムでReact2Shellに対応した。116人超の研究者が参加し、Vercelは最終的に20種類のユニークな回避手法に対して合計100万ドルを支払った。
同社によれば、この取り組みにより、脆弱なバージョンのNext.jsを実行する環境を標的とした600万回超のエクスプロイト試行を遮断できたという。Tariq氏は、封じ込めた潜在的な影響と露出を考えれば「最高の100万ドルの使い道だった」と語った。
Tariq氏は、React2Shellへの初動対応を悔やんではいない。むしろ、調整に根差した継続的な課題に取り組むための動機になったと捉えている。
より広いコミュニティとともにセキュリティ問題へ迅速に対処する負担は、しばしばTariq氏のように、業界横断の対応を個人的な関係に頼って調整する個人にのしかかる。彼によれば、これにはGoogle、Microsoft、Amazonなどのセキュリティリーダーへの直接の連絡とコミュニケーションが含まれていた。
「業界として、もっと良くしなければならない。これをより持続可能な形で行う方法を見つける必要がある」とTariq氏は述べた。
翻訳元: https://cyberscoop.com/vercel-cto-security-react2shell-vulnerability/
