React Server Componentsにおける重大な脆弱性(CVE‑2025‑55182、React2Shell)を悪用する動きが活発化しており、世界中の複数の業界セクターにまたがる企業が標的となっています。
React2Shellは、React Server Componentsにおけるクライアント・サーバー間通信を促進するFlightプロトコルに影響します。
この脆弱性は、安全でないデシリアライズに起因し、サーバーが適切な検証なしにクライアントデータを受け入れることで、特定の条件下でリモートコード実行が可能になります。
このキャンペーンは2025年12月に初めて特定され、新たに公開された欠陥がいかに迅速に武器化され、多様なマルウェアのペイロード展開に利用され得るかを示しています。
影響を受けるパッケージには、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackのバージョン19.0〜19.2.0が含まれます。修正は19.0.1、19.1.2、19.2.1で提供されています。
攻撃キャンペーンとマルウェア
BI.ZONE Threat Detection and Responseは、ロシアの保険、Eコマース、ITセクターを標的とする複数の攻撃波を特定しており、同時にグローバルなキャンペーンが他地域の組織も攻撃しています。
攻撃者は、侵害されたコンテナ内で実行されるBase64エンコードのコマンドを通じてペイロードを配布し、systemdサービス、cronジョブ、改変された起動スクリプトにより永続化を確立します。
XMRig暗号資産マイナー:最も頻繁に展開されるマルウェアで、Bashスクリプト(apaches.sh、setup2.sh、sex.sh)を介してインストールされ、永続化の仕組みを作成し、過剰なCPUリソースを消費する競合プロセスを終了させます。
Kaijiボットネット:アーキテクチャ別のELF実行ファイル(linux_386、linux_amd64)として展開されるこのGolangベースのボットネットは、SYN、ACK、UDPフラッドによるDDoS攻撃を実行し、任意のシェルコマンドを実行でき、XMRigを組み込みます。
setup2.shの断片(出典:Medium)。これはsystemdサービス、crontabタスク、init.dスクリプトを通じて永続化を確立し、正規のシステムライブラリを装って偽装します。
RustoBot:Rustで書かれTOTOLINKデバイスを標的とするこのボットネットは、ドメイン解決(ilefttotolinkalone.anondns[.]net、rustbot. anondns[.]net)を通じてC2アドレスを取得し、UDP、TCP、raw IPフラッドによる設定可能なDDoS攻撃を実行します。
Sliverインプラント:d5.shスクリプトにより展開される高度な持続的脅威(APT)ツールで、/usr/bin/sshd-agent内の不変ファイル、または非rootユーザー向けの隠しディレクトリを用いて、root権限で永続化を確立します。このインプラントはコマンド&コントロールのためにkeep.camdvr[.]orgへ接続します。
CrossC2フレームワーク:攻撃者はUPXでパックされたCobalt Strikeビーコンのペイロード(a_x86、a_x64)を展開し、ハードコードされた鍵によるAES-128-CBC暗号化を使用します。このフレームワークは、154.89.152[.]240:443のC2サーバーを介して侵害後活動を可能にします。
Tactical RMM:156.67.221[.]96からダウンロードされるリモート監視・管理ツールで、攻撃者が永続的な管理者アクセスを維持できるようにします。
VShellバックドア:Goベースのバックドアで、段階的ローダーを通じて配布され、キー0x99によるXORでペイロードを復号し、検知回避のためmemfd_create経由で実行されます。設定にはサーバー107.173.89[.]153:60051およびvkey「qwe123qwe111」が含まれます。
EtherRAT:Ethereumスマートコントラクト(0x22f96d61cf118efabc7c5bf3384734fad2f6ead4)からRPCエンドポイント経由でC2アドレスを取得する、新しいJavaScriptベースのリモートアクセストロイの木馬です。
このマルウェアは任意のJSコードを実行し、暗号資産ウォレット、SSH鍵、クラウド認証情報を窃取し、nginx/Apacheの設定を改変して外部ドメインへトラフィックをリダイレクトします。
緩和策
敵対者はDNSトンネリングを用いて偵察データを流出させ、oastify[.]comのサブドメインを使用してコマンド実行結果を収集します。
偵察スクリプトはシステム情報、ネットワーク設定、実行中プロセスを収集し、109.238.92[.]111:8000/uploadのようなエンドポイントへデータを流出させます。
攻撃者は永続的なアクセスのためにauthorized_keysファイルへSSH鍵を追加し、検知回避のためにセキュリティ監視プロセスを終了させることもあります。
組織は影響を受けるreact-server-dom-*パッケージを、修正版(19.0.1、19.1.2、19.2.1以上)へ直ちに更新する必要があります。Next.jsプロジェクトは、これらの修正済み依存関係を含むようにアップグレードすべきです。
更新後はプロジェクトを再ビルドし、ロックファイルを検証して、脆弱なバージョンが完全に除去されていることを確認してください。
セキュリティチームは、IOC(侵害指標)についてシステムを監査し、特に既知の悪性IP(176.117.107[.]154、45.137.201[.]137、103.135.101[.]15、128.199.194[.]97、216.158.232[.]43)およびドメインへの接続、ならびに不正なsystemdサービスやcronジョブを監視すべきです。
公開から数時間でReact2Shellが急速に武器化された事実は、即時のパッチ適用と、侵害後活動に対する継続的な監視が極めて重要であることを強調しています。
翻訳元: https://gbhackers.com/react2shell-vulnerability-4/
