React2Shellの脅威活動に変化

React Server Componentsの深刻な脆弱性が公表されてから2か月が経過し、この脆弱性を狙う脅威活動に著しい変化が見られると研究者らが警告しています。特に、1月下旬以降、攻撃元のIPアドレスが突然集中化していることが確認されています。

脆弱性の概要と初期の攻撃

この脆弱性は「React2Shell」と名付けられ、CVE-2025-55182として追跡されています。ペイロードの安全でないデシリアライゼーションにより、認証されていない攻撃者がリモートコード実行（RCE）を達成できるというものです。昨年11月下旬に発見されて以来、幅広い業界で標的とされてきました。昨年12月の最初の攻撃の波では、国家支援型脅威グループやその他のアクターが関与した広範なエクスプロイトにより、数百のシステムが侵害されました。

GreyNoiseによる分析

GreyNoiseの研究者らは2月3日（月）のブログ投稿で、過去7日間における脅威活動の半分以上がわずか2つのIPアドレスから発信されているという顕著な変化を報告しました。この変化以前は、脅威活動に関連するユニークなソースは1,083に上っていましたが、現在はわずか2つのIPアドレスに集約されています。GreyNoiseのセンサーは、この7日間で140万回以上のCVE-2025-55182悪用試行を検出しました。

研究者らは、この悪用が特に開発者コミュニティを標的としていると警告しています。GreyNoiseの研究者らはCybersecurity Diveに対し、「ソフトウェア開発サーバーが稼働するポートに集中して標的を絞っていることが見て取れます。開発インフラをインターネットに公開している組織はリスクに晒されています」と述べました。

新たな脅威の動向とVulnCheckの報告

この2つの新たなソースのうちの1つは「ステージングサーバーからクリプトマイニングバイナリを取得」し、もう1つは「スキャンしているIPアドレスに対してリバースシェルを開く」と報告されています。これが2つの異なるアクターによるものなのか、それとも単一のアクターがインフラを分割して使用しているのかは、現時点では不明です。

VulnCheckの研究者らも、悪意のあるトラフィックが急増していると報告しています。彼らの検出ネットワークは、過去3日間で約1,000件のCVE-2025-55812悪用試行を検知しており、その大半はGreyNoiseの報告と同じ2つのIPアドレスから来ていたと、VulnCheckのCTOであるJacob BainesはCybersecurity Diveに語りました。

組織への勧告と新たな脆弱性

GreyNoiseは、まだパッチを適用していない組織は、すでに標的とされていると仮定すべきだと警告しています。これとは別に、Reactは先月末、CVE-2026-23864として追跡される新たなサービス拒否（DoS）脆弱性を公表しています。

元記事: https://www.cybersecuritydive.com/news/react2shell-exploitation-threat-activity/811359/