概要

ハッカーは、Next.jsアプリケーションにおける重要なReact2Shell脆弱性（CVE-2025-55182）を悪用し、自動化された資格情報盗難作戦を展開しています。この攻撃により、766のサーバーが24時間以内に侵害されました。

脅威活動

Cisco Talosは、この脅威活動を「UAT-10608」として追跡しています。これは、公開アクセス可能なNext.jsアプリケーションに対して大規模な自動化された資格情報収集キャンペーンです。

脆弱性の詳細

React2Shell（CVE-2025-55182）は、CVSS 10.0評価を持つ事前認証リモートコード実行（RCE）脆弱性で、React Server Components (RSC)の不適切なデシリアライゼーションにより引き起こされます。この脆弱性を悪用することで、ハッカーはサーバサイドのNode.jsプロセスに任意のコードを実行できます。

攻撃手順

• UAT-10608は、インターネット向けアプリケーションを最初に特定し、次にServer Functionエンドポイントに対して悪意のあるシリアライズされたペイロードを送信します。
• 成功した場合、軽量なドロッパーが実行され、マルチフェーズのシェルスクリプトがバックグラウンドで実行されます。

NEXUS Listenerと収集されたデータ

攻撃者は、NEXUS Listenerという名前の後方相互通信（C2）ツールを使用して、収集したファイルをバックエンドデータベースに保存し、パスワード保護されたウェブインターフェースを通じてアクセスします。

被害の規模

NEXUS Listenerから得られた情報によると、766ホストから10,120ファイルがエクスフィルレートされました。この中には、データベース資格情報やSSHプライベートキーなど、多くの重要な情報を含んでいます。

防御策

Cisco Talosと他のベンダーは、React2Shellのパッチをすぐに適用し、すべてのReact Server ComponentsおよびNext.jsデプロイメントで脆弱性が存在しないことを確認するよう推奨しています。また、getServerSidePropsやgetStaticPropsの使用状況を調査し、NEXT_PUBLIC_環境変数の厳格な管理を行うことも重要です。

結論

この脆弱性は深刻であり、迅速に対応することが求められます。企業は直ちにパッチを適用し、セキュリティ上のリスクを最小限に抑えるべきです。

---

元記事: https://gbhackers.com/next-js-react2shell-vulnerability/