大規模な自動化されたサイバー攻撃キャンペーンが、広く使用されているNext.jsフレームワークで構築されたウェブアプリケーションを積極的に標的にしており、24時間以内に世界中の数百台のサーバーが侵害されています。
この攻撃はCVE-2025-55182を悪用しています。これはReact Server Componentsで発見された重大なリモートコード実行(RCE)脆弱性で、React2Shellの欠陥として広く知られています。
この脆弱性が存在する理由は、サーバーエンドポイントに送信されたシリアル化されたクライアントデータが、適切な検証またはサニタイズなしで処理されるためです。
重大なことに、認証は不要であり、攻撃者は悪意のあるペイロードをさらされたサーバーに直接送信し、事前のアクセスや認証情報なしにサーバー環境内で任意のコードを実行できます。
UAT-10608は手動の侵入技術に依存していません。代わりに、脅威グループはShodanやCensysを含む自動スキャンプラットフォームを武器化して、規模を大きくして公開されているNext.jsアプリケーションを特定します。
脆弱なターゲットが検出されると、エクスプロイトは自動的に、人的相互作用なしにデプロイされます。
小さなスクリプトがサーバーの一時ファイルディレクトリに直ちに配置され、感染チェーンが開始されます。
その初期のドロッパースクリプトは、侵害されたシステムを体系的に略奪するように設計された、より大きな多段階の収集ツールをフェッチします。
このツールは異なるフェーズを通じて実行され、環境変数を抽出し、Kubernetesサービスアカウントトークンを探索し、シェルコマンド履歴をキャプチャします。
各フェーズ間で、盗まれたデータは静かに攻撃者制御のインフラストラクチャに流出されます。
このスクリプトはまた、AWS、Google Cloud、およびMicrosoft Azureからクラウドプロバイダーメタデータをプルし、ネットワーク構成と公開されたポートをスキャンして実行中のDockerコンテナを列挙します。
この偵察により、攻撃者は追続的な悪用のために内部管理ダッシュボードとデータベースをマップできます。
盗まれた認証情報の流れを管理するために、UAT-10608はNEXUS Listenerと呼ばれるウェブベースのコマンドアンドコントロールインターフェースをデプロイします。
このダッシュボードは、収集されたデータを検索および分析するためのクリーンなグラフィカルインターフェースを提供します。
研究者は、誤って公開されたインスタンスを発見し、1日で侵害された766台のホストの完全な運用規模を確認しました。リアルタイム統計、認証情報カテゴリ、および稼働時間追跡がすべて表示されています。
UAT-10608キャンペーンは、現代のウェブフレームワークのデシリアライゼーション脆弱性がもたらす壊滅的なリスクを強調しています。
Next.jsを実行している組織は、React2Shellの欠陥への露出について直ちに展開を監査し、利用可能なセキュリティパッチを適用し、さらなるネットワーク侵害を防ぐためにすべての潜在的に公開された認証情報、トークン、およびSSHキーを遅延なく回転させなければなりません。
翻訳元: https://cyberpress.org/hackers-exploit-react2shell-flaw-to-compromise-700-next-js-hosts/