概要

「React2Shell」（CVE-2025-55182）と呼ばれるReact Server Componentsにおける深刻な事前認証リモートコード実行の脆弱性が、実環境で活発に悪用されているとアナリストが警告しています。この脆弱性はReact 19エコシステムで使用されている複数のReactバージョンに影響を与え、公開からわずか20時間で悪用が確認されました。

「React2Shell」脆弱性の詳細

React2Shell（CVE-2025-55182）は、React Server Componentsがサーバーサイドのコンポーネントペイロードを解析する方法を悪用する設計されたネットワークリクエストを通じて悪用可能とされています。この脆弱性が存在するシステムでは、認証前の段階でリモートコード実行を許してしまうため、早急なパッチ適用と監視が強く推奨されます。

攻撃の観測状況

WXA Internet Abuse Signal Collective (WXA IASC) は、「To Cache A Predator」と題した脅威リサーチシリーズの一環としてこの攻撃を追跡しています。彼らのNiihamaハニーポットは、2025年12月上旬の公開から約20時間以内に悪用試行を観測し、エクスプロイトのメカニズムと攻撃者の特徴を早期に把握しました。その後、2026年2月上旬まで、NiihamaはReact2ShellおよびNext.jsに特化した安定したスキャンを記録し続けており、特に/_next/serverパスや大規模な/_next/static/*に対する探索が確認されています。

攻撃インフラと「ILOVEPOOP」ツールキット

WXA IASCのNetFlowベースのテレメトリーによると、オランダでホストされている2つのノードがキャンペーンの中心的なピボットとして際立っています。これらのIPアドレス（193.142.147[.]209と87.121.84[.]24）は、2026年1月26日から2月2日までの7日間で観測されたReact2Shellの悪用トラフィックの56%を占めていました。GreyNoiseの独立した報告でも、同じ2つのIPが確認されています。

WXA IASCは、高精度なReact2Shellの活動の多くを、「ILOVEPOOP」と呼ばれる新しい単一オペレーターツールキットに起因すると見ています。このツールキットは以下の特徴で識別されます：

• 一貫したヘッダー（Next-Action: x、X-Nextjs-Request-Id: poop1234、X-Nextjs-Html-Request-Id: ilovepoop_*）
• 繰り返される6つのNext.jsパスへのスキャン
• 再利用可能なエクスプロイトスタックを示唆するUser-Agentの共有ローテーション

Niihamaはまた、同じエクスプロイトインフラに関連するIPからの後続の敵対的行為（SMB/RDP/SSH/HTTP攻撃および認証情報悪用）も記録しており、これは「早期警戒」の解釈を裏付けています。

防御策

防御側は以下の対策を早急に実施すべきです：

• CVE-2025-55182に関連する影響を受けるReact/Next.jsデプロイメントにパッチを適用し、緩和策が本番環境に実際にデプロイされていることを確認する。
• リバースプロキシ、WAF、およびアプリケーションログで、Server Actionsに似たPOSTパターンや不審なNext.js内部ヘッダー（ILOVEPOOPのカナリアIDを含む）を探索し、ソースIP、ASN、およびホスティングプロバイダーのパターンに焦点を当てる。
• これらの発見を敵対的活動およびスキャンプレッシャーの証拠として扱い、インターネットに面するシステムに対する露出削減、最小特権、および迅速な封じ込め計画を優先する。

---

元記事: https://gbhackers.com/react2shell-vulnerability-exploited/