サイバーニュース.jp

世界のサイバーなニュースを配信

React2Shellの脆弱性:810万件の攻撃を記録、深刻な脅威が浮上

カテゴリ:

概要:React2Shellの猛威

React Server Components (RSC) の「Flight」プロトコルにおけるリモートコード実行の脆弱性、CVE-2025-55182(通称「React2Shell」)が、大規模な悪用キャンペーンの標的となっています。脅威インテリジェンス企業GreyNoiseによると、この脆弱性開示以来、810万回を超える攻撃セッションが記録されており、2025年12月下旬にはピークを迎え、その後も1日あたり30万〜40万回の攻撃が継続しています。

このキャンペーンの規模は、脆弱性の極めて重大な性質を浮き彫りにしています。React、Next.js、およびRSC Flightプロトコルに依存する多数のダウンストリームフレームワークが影響を受けます。この脆弱性は、しばしば本番レベルの権限で実行されるアプリケーションロジックの直前に位置するため、脅威アクターにとって非常に価値の高い標的となっています。

攻撃インフラの広がり

この攻撃キャンペーンを支えるインフラは、101カ国、1,071の自律システム番号(ASN)に分散された8,163のユニークなIPアドレスに及んでいます。この地理的およびネットワークの多様性は、日和見主義的な自動ボットネットからより高度な脅威運用に至るまで、多数の脅威アクターグループによるエクスプロイトの広範な採用を反映しています。

  • 観察された全エクスプロイトトラフィックの3分の1以上をAmazon Web Servicesが占めています。
  • 上位15のASNが総ソースIPの約60%を構成しており、クラウドインフラプロバイダーが大規模な攻撃キャンペーンを組織するための主要なプラットフォームであり続けていることを示しています。
  • 観察されたエクスプロイトIPの約50%が2025年7月以降にGreyNoiseによって初めて確認されており、新しくプロビジョニングされたインフラとVPSおよびプロキシプールの迅速なIPローテーション戦術に大きく依存していることが伺えます。

多様なペイロード戦術

これまでに70,000以上のユニークなペイロードが生成されており、攻撃者による継続的な実験と反復を示しています。ネットワークフィンガープリント分析では、700の異なるJA4Hハッシュ(HTTPクライアントフィンガープリント)と340のユニークなJA4Tハッシュ(TCPスタックフィンガープリント)が検出されており、脆弱なエンドポイントに対して展開されているツールと自動化フレームワークの多様性を示しています。

攻撃パターンは多段階のエクスプロイト手法を明らかにしています。

  • 最初の概念実証(PoE)コマンドでは、シンプルなPowerShellの算術演算を使用して、最小限のエンドポイントアーティファクトでコマンド実行を検証します。
  • 検証が成功した後、攻撃者は標準の「-enc」難読化技術と「DownloadString」および即時実行(IEX)プリミティブを組み合わせたエンコードされたPowerShellステージャを展開し、第2段階のペイロードを取得します。
  • 第2段階のペイロードは、Windows AMSI(Antimalware Scan Interface)を標的としたリフレクションベースのマルウェア対策バイパス技術を採用しており、現代の攻撃ツールチェーン全体で広く文書化されている一般的なエクスプロイト手法を反映しています。

防御策の提言

組織は、直ちにReactおよびNext.jsのデプロイメントにパッチを適用することを優先する必要があります。ネットワーク防御担当者は、特定されたエクスプロイトソースインフラを標的としたGreyNoiseのダイナミックブロックリストを展開する必要があります。攻撃者のインフラの量と広範さを考慮すると、静的なIPベースのブロッキングだけでは不十分です。

持続的な攻撃量、インフラの多様性、および迅速なIP変更は、このキャンペーンがコモディティボットネットエクスプロイトキットにReact2Shellが組み込まれ続ける限り、継続することを示唆しています。

エンドポイント防御担当者は、PowerShell実行とエンコードされたコマンドパラメータ、「DownloadString」機能、または特定のAMSIバイパスリフレクションパターンを組み合わせたプロセス作成イベントを監視する必要があります。PowerShellスクリプトブロックロギング(WindowsイベントID 4104)は、System.Management.Automation.AmsiUtilsとリフレクションベースのフィールド変更を含む疑わしい組み合わせについてアラートを出すように設定されるべきです。

パッチ適用を迅速に行い、高品質のエンドポイント検出を実装する防御担当者は、この日和見主義的な初期段階で脅威を封じ込める態勢を整えています。

元記事: https://gbhackers.com/react2shell-vulnerability-3/

投稿をさらに読み込む