React2Shell(CVE-2025-55182)は、React Server Componentsにおける重大な事前認証のリモートコード実行(RCE)の弱点であり、React 19エコシステム全体で使用されている複数のReactバージョンに影響します。
WXA Internet Abuse Signal Collective(WXA IASC)は、世界規模のテレメトリ、エンリッチメントデータセット、ハニーポット観測を相関させ、CVE-2025-55182(別名「React2Shell」)に結び付く攻撃者のインフラと戦術をマッピングする脅威リサーチシリーズ「To Cache A Predator」を開始します。
第1回では、一貫したキャンペーンを示す指標を統合しています。すなわち、公開後の迅速な武器化、Next.jsパスの継続的なスキャン、そして少数の高レバレッジなノード周辺へのインフラ集中です。
公開アドバイザリでは、サーバーサイドコンポーネントのペイロード解析方法を悪用する細工されたネットワークリクエストによって悪用が可能であると説明されており、防御側に対して迅速なパッチ適用と悪用試行の監視を促しています。
新居浜による早期可視化
WXA IASCの新居浜ハニーポットは悪用の試行を観測し、2025年12月上旬の公開からおよそ20時間以内に確認しました。これにより、エクスプロイトの仕組みと攻撃者のフィンガープリンティングを早期に捕捉できました。
初期の急増後も、新居浜は2026年2月上旬までReact2ShellおよびNext.jsに焦点を当てたスキャンを継続的に記録しており、 /_next/server のプロービングや、 /_next/static/* に対する大規模な探索も含まれていました。
WXA IASCのNetFlow由来テレメトリ全体では、オランダでホストされた2つのノードがキャンペーンの中核的なピボットとして際立っており、観測期間中にそれぞれ数百万の相手先とやり取りしていました。
GreyNoiseは独自に、同じ2つのIPである193.142.147[.]209と87.121.84[.]24が、7日間(2026年1月26日〜2月2日)の区間で観測されたReact2Shell悪用トラフィックの56%を生成したと報告しました。
そのGreyNoiseのウィンドウではセンサーがCVE-2025-55182を標的とする1,419,718件の悪用試行を記録しており、193.142.147[.]209が488,342セッション(34%)、87.121.84[.]24が311,484セッション(22%)を占めました。
WXA IASCは、高精度なReact2Shell活動の多くを、複数のホスティングプロバイダ上の9つのスキャナーノードで動作する、ILOVEPOOPと名付けられた新規の単独オペレーター用ツールキットによるものだとしています。
このツールキットは、一貫したヘッダーと挙動(Next-Action: x、 X-Nextjs-Request-Id: poop1234、試行ごとの X-Nextjs-Html-Request-Id: ilovepoop_*、再現可能な6パスのNext.jsスイープ、そしてランダムなプロービングではなく再利用可能なエクスプロイトスタックを示唆する共通のUser-Agentローテーション)によってフィンガープリントされています。
新居浜はまた、同じエクスプロイトインフラに関連するIPからの後続の敵対的挙動(SMB/RDP/SSH/HTTP攻撃および認証情報の悪用)も記録しており、「早期警戒」という解釈枠を支持しています。すなわち、インフラの重なりと挙動の重なりはリスクを示すものであり、侵害の確証ではありません。
防御側が今すべきこと
- CVE-2025-55182に関連する影響を受けるReact/Next.jsのデプロイにパッチを適用し、緩和策が本番環境に実際に展開されていることを検証する。
- リバースプロキシ、WAF、アプリのログで、Server ActionsのようなPOSTパターンや不審なNext.js内部ヘッダー(ILOVEPOOPのカナリアIDを含む)を逆引きし、その後、送信元IP、ASN、ホスティングプロバイダのパターンへとピボットする。
- これらの所見を敵対的活動とスキャン圧の証拠として扱い、露出低減、最小権限、インターネット公開システム向けの迅速な封じ込め計画を優先する。
翻訳元: https://gbhackers.com/react2shell-vulnerability-exploited/
