React2Shell攻撃が多岐にわたる分野で拡大

Microsoftの研究者らは、React Server Componentsの重大な脆弱性を悪用した「React2Shell」攻撃により、幅広い組織の「数百台の機器」が侵害されていると警告しました。この攻撃は、Reactのアプリケーションツールにおける欠陥を悪用し、国家支援型および日和見主義的なアクターによって活発に展開されています。

脆弱性の詳細：CVE-2025-55182

この脆弱性（CVE-2025-55182）は、React Server Functionエンドポイントに送信されるペイロードの安全でないデシリアライゼーションにより、認証されていない攻撃者がリモートコード実行（RCE）を達成することを可能にします。深刻度スコアは10と評価されており、デフォルト設定が脆弱であるため、悪用が容易であると考えられています。Reactはユーザーインターフェースを構築するためのJavaScriptライブラリであり、React Server ComponentsはReact 19アプリケーションの一部ロジックをサーバー側で実行することを可能にするエコシステムです。Microsoftは、このフレームワークが企業環境で広く使用されており、数千の組織で数万のデバイスがReactまたはReactベースのアプリケーションを実行していると指摘しています。

攻撃者と攻撃の手口

Google脅威インテリジェンスグループ（GTIG）の研究者らは、複数のスパイ活動グループや日和見主義的な犯罪グループがReact2Shellを標的にしていると警告しています。中国関連のスパイ活動グループ「UNC6600」は、侵害されたシステムと秘密裏に通信を維持する「Minocat tunneler」を配布するためにこの脆弱性を悪用しています。さらに、中国に繋がりのある他の2つの脅威アクター「UNC6588」と「UNC6603」も、脆弱性を悪用して被害者システムにバックドアを仕掛けているのが確認されています。GTIGの研究者らは、イラン関連の攻撃者もこの脆弱性を悪用していることを観測していますが、詳細については言及していません。

一方、Palo Alto Networksの研究者らは、プロフェッショナルに設計された新しいリモートアクセスツール「KSwapDoor」の展開を観測しています。このツールは、侵害されたサーバー同士が通信できる内部メッシュネットワークを構築するために使用されます。攻撃者らは、React2Shell攻撃において、既知のCobalt Strikeサーバーへのリバースシェルを含む任意のコマンドを実行していることもMicrosoftによって報告されています。彼らは、持続性を得るためにMeshAgentなどのリモート監視および管理ツールも使用しています。

クラウド認証情報の窃取

Microsoftによると、この一連の攻撃ではクラウドサービス認証情報が標的にされています。AzureのAzure Instance Metadata Serviceエンドポイント、Amazon Web Services（AWS）、Google Cloud Platform（GCP）、Tencent Cloudの認証情報などが含まれます。同社は、悪用活動が12月5日という早い段階で始まっていたと述べています。

迅速なパッチと追加の脆弱性

この脆弱性は、セキュリティ研究者であるLachlan Davidson氏によって11月下旬にMetaのバグバウンティプログラムを通じてReactに報告されました。Reactは今月初めに元の脆弱性に対するパッチをリリースしましたが、先週後半には、CVE-2025-55814とCVE-2025-67779を含む追加の脆弱性が開示されています。

元記事: https://www.cybersecuritydive.com/news/react2shell-attacks-expand-multiple-sectors/808030/