概要
2025年12月3日に公開されたCVE-2025-55182の脆弱性に関して、わずか数時間のうちに、中国関連の脅威グループ「Earth Lamia」と「Jackpot Panda」を含む複数の攻撃者による活発な悪用が確認されました。
このReact Server Componentsにおける重大な脆弱性は、CVSSスコアで最高値の10.0を記録しており、App Routerを有効にしたReact(バージョン19.x)およびNext.js(バージョン15.xおよび16.x)を実行している組織にとって喫緊の脅威となっています。エクスプロイトの迅速な実用化は、洗練された攻撃者がパッチが広く展開される前に公開された脆弱性を武器化するという、現在の脅威状況を示しています。
React2Shell脆弱性(CVE-2025-55182)の詳細
セキュリティ研究者Lachlan Davidsonによって発見され、2025年11月29日にReactチームに責任を持って開示されたCVE-2025-55182は、React Server Componentsにおける安全でないデシリアライゼーションの脆弱性です。「React2Shell」という名称は、影響を受けるシステム上で非認証のリモートコード実行(RCE)を達成する可能性に由来しています。
- CVE ID: CVE-2025-55182(Next.jsの場合はCVE-2025-66478)
- 別名: 「React2Shell」
- 深刻度: 重大(CVSSスコア: 10.0)
- 脆弱性の種類: 安全でないデシリアライゼーション(リモートコード実行につながる)
この脆弱性の特に危険な点は、アプリケーションが明示的にサーバー機能を実装していなくても、React Server Componentsをサポートするあらゆるデプロイが潜在的な標的となることです。Reactバージョン19.x、およびApp Routerを使用しているNext.jsバージョン15.xと16.xに影響を及ぼします。CVSSスコア10.0は、ネットワーク経由の攻撃者が認証やユーザーインタラクションなしにリモートで脆弱性を悪用できるという、最大の深刻度を反映しています。
VercelはMetaおよびAWSを含む主要クラウドプロバイダーと協力し、公開前に情報が広く知られる前に同期的なパッチ適用を調整しました。
悪用中の脅威アクター
以下の中国関連脅威グループが、この脆弱性を積極的に悪用しています。
- Earth Lamia: 過去にラテンアメリカ、中東、東南アジアの金融サービス、ロジスティクス、小売、政府部門の組織を標的としていました。
- Jackpot Panda: 主に東アジアおよび東南アジアの組織を標的としており、国内のセキュリティ関連の収集優先事項と一致する可能性が高いです。
これらの攻撃者は、共有された匿名化インフラストラクチャを使用しており、複数の脅威グループが偵察、悪用、コマンド&コントロール活動を実行しながら、個別の帰属を不明瞭にしています。
悪用戦術と技術
脅威アクターは、自動スキャンツールと個別の概念実証(PoC)エクスプロイトの両方を採用しており、一部のツールでは検出を回避するためにユーザーエージェントのランダム化が組み込まれています。これらのグループはReact2Shellだけでなく、Amazonの脅威インテリジェンスチームは、CVE-2025-1338を含む他の最近の脆弱性の悪用も同時に観測しており、脅威アクターが広範なマルチCVEキャンペーンのために公開されたエクスプロイトをスキャンインフラストラクチャに迅速に統合する体系的なアプローチを示しています。
Amazonの調査で注目すべき点は、公開されている多くのPoCエクスプロイトが脆弱性の根本的な理解を欠いており、適切に構成されたシステムに対して機能しないという事実です。いくつかの例では、fs、child_process、vmなどの危険なモジュールをサーバーマニフェストに明示的に登録していますが、これは本番アプリケーションで実装すべきではありません。このような技術的な不適切さにもかかわらず、脅威アクターは依然として不完全なエクスプロイトを大規模に展開し、正確性よりも速度を優先しています。この量ベースのアプローチは、大量のログノイズを生成し、洗練されていない攻撃者もキャンペーンに参加することを可能にしています。
AWSハニーポットインフラストラクチャにおける悪用試行の分析では、執拗で系統的な行動が明らかになりました。ある帰属不明の脅威クラスターは、約1時間にわたり悪用試行を体系的にトラブルシューティングし、52分間にわたって116件のリクエストを実行し、複数のペイロード、Linuxコマンド実行、ファイル操作を試みました。
推奨事項
組織は脆弱なReactおよびNext.jsアプリケーションのパッチ適用を直ちに優先する必要があります。AWSはSonaris Active Defense、AWS WAF管理ルール(バージョン1.24以上)、MadPotインテリジェンスシステムを含む保護対策を展開していますが、これらは直接的なアプリケーションパッチの代わりにはなりません。EC2、コンテナ、またはその他の自己管理環境でアプリケーションを実行している顧客は、この重大な脆弱性を修正するために直ちにアップデートを行う必要があります。