キャンペーンは「怠慢と効率性」が原因で、パッチが当たっていないサーバーから大規模に認証情報を盗んでおり、アナリストはダメージが「絶対的である可能性がある」と述べています。
明らかなセキュリティ上の欠陥により、研究者は現在4か月前のReact2Shell脆弱性を悪用してパッチが当たっていないサーバーを利用し、ログイン認証情報、キー、トークンを大規模に盗んでいる脅威グループの活動を監視することができるようになりました。
この発見を行ったシスコシステムズのTalos脅威インテリジェンスチームの研究者は木曜日に発表したところによると、属性が不明なグループ「UAT-10608」によって収集されたデータはウェブアプリケーションの背後にあるパスワード保護されたデータベースに送信されていました。しかし、そのアプリケーションはある時点で公開されており、研究者は侵害されたシステムから収集されたデータを見ることができました。
これまでに盗まれた認証情報、認証トークン等は、AWS、Microsoft Azure、OpenAI、Anthropic、Nvidia NIM、OpenRouter、Tavily、決済処理業者Stripe、GitHubのインスタンスから来ています。
ウェブアプリケーションにより、ユーザーはすべての侵害されたホストを閲覧することができます。特定のホストを選択すると、収集スクリプトの各段階に対応する流出データすべてを含むメニューが表示されます。これは研究者にとってボーナスです。
この発見は、環境内にReactサーバーを持ち、まだこの脆弱性に対応していないIT専門家が、企業の認証情報が盗まれる前に迅速に行動する主な理由です。攻撃を軽減するために、AWSやGitHubを含む、公開または危険にさらされている認証情報を持つ被害者とサービスプロバイダーに通知されています。
注目すべき統計の1つ:自動搾取および収集フレームワークは、24時間以内に766台のホストを正常に侵害することができました。
危険にさらされているのは、CVE-2025-55182に対応していないNext.jsアプリケーションで、これはReact2Shellとして知られている認証前のリモートコード実行脆弱性です。修正は4か月前に発行されました。
多段階の攻撃
ホストが侵害されると、キャンペーンは多段階の認証情報収集ツールをデプロイし、ユーザー名、パスワード、SSHキー、クラウドトークン、環境シークレットを大規模に収集します。
「被害者セットの広がりと無差別なターゲット設定パターンは、自動スキャンと一致している」とシスコTalosは述べています。「おそらくShodan、Censys、またはカスタムスキャナーなどのサービスからのホストプロフィールデータに基づいて、公開されているNext.jsデプロイメントを列挙し、説明されているReact設定脆弱性をプローブしている可能性があります。」
攻撃者は、逆シリアル化ルーチンを悪用するように設計された悪意のあるシリアル化されたペイロードを作成します。これはサーバー上の任意のオブジェクトインスタンス化またはメソッド呼び出しをトリガーするために一般的に使用される技術です。ペイロードはHTTPリクエストを介してServer Functionエンドポイントに直接送信されます。認証は不要です。サーバーは悪意のあるペイロードを逆シリアル化し、サーバー側のNode.jsプロセスで任意のコード実行が発生します。
最初のReact搾取により、マルチフェーズ収集スクリプトをフェッチして実行するドロッパーが配信されます。実行時に、収集スクリプトは複数のフェーズを経て、侵害されたシステムからさまざまなデータを収集し、コマンドアンドコントロールサーバーにアップロードされ、データベースに読み込まれます。
産業規模
「これはすべて怠慢と効率性に関するものです」とパッチ管理プロバイダーAction1のフィールドCTOであるジーン・ムーディはCSO に語りました。「React2Shellはすぐに攻撃者が探しているすべての基準を満たしました:公開されたディスクロージャ、信頼性の高い搾取、インターネットに面した露出。その組み合わせは事実上、広範な悪用を保証しました。それ以来、複数のキャンペーンがスキャン、搾取、認証情報収集の完全な[攻撃]ライフサイクルを自動化してきており、ほとんど人間の介入がありません。」
攻撃者は産業規模で活動していると彼は付け加えました。ShodanやCensysのようなプラットフォームは既にインターネットの大部分をインデックス化しており、脆弱なシステムを見つけることは簡単です。有限のIPスペースを使用すると、最も控えめなモダンコンピュータ/インターネット接続でも、1時間以内に包括的なスキャンを完了できます。
「公開されたシステムには、意味のある曖昧性は残されていません」と彼は付け加えました。「正直なところ、本来あるべきでもなかった。」
「パッチを適用できなかったときから攻撃が始まった」
結果は予測可能だとムーディは述べました。パッチが当たっていないシステムは「危険にさらされていない」のではなく、キューに入っています。発見は速く、搾取は速く、侵害は多くの場合、エンドツーエンドで自動化されています。「React2Shellは、攻撃者がどれほど迅速に既知の問題を持続的な収益ストリームに変え、管理者の無関心に基づいて長期間にわたって持続させることができるかの完璧な例です」と彼は述べました。
「より懸念されるのは、初期アクセス後に起こることです」と彼は付け加えました。「認証情報の収集は、攻撃のライフスパンを元の脆弱性をはるかに超えて延長します。その後システムがパッチされた場合でも、盗まれた認証情報は永続性と横方向の移動を可能にし、その結果、パッチを適用できなかったときから攻撃が始まったことを意味します。1つの間違いは、これらの情報が悪い手に渡ると一瞬にしてあらゆる間違いに変わります。ダメージは絶対的であり、回復の可能性がありません。企業はそれ以下で失敗しています。それが終わるのは、パッチが適用されたときではなく、侵害される前にそれを取得していない限り確実です。
「パッチを歯痛のように扱ってください」と彼はアドバイスしました。「最初の兆候で、できるだけ迅速に対処してください。そうしないと、悲しみだけが続きます。」
