React Server Componentsに緊急の脅威：国家関連グループが既に悪用を開始

MetaのReact Server ComponentsおよびNext.jsに存在する極めて重大な脆弱性「CVE-2025-55182」、通称「React2Shell」が、開示後わずか数時間で国家関連の脅威グループやボットネットによって標的にされていることが明らかになりました。この脆弱性は、クラウド環境の約40%に影響を及ぼす可能性があり、広範なリスクをもたらしています。

React2Shellの正体：認証なしでリモートコード実行を可能にする「マスターキー」

Amazonの最高情報セキュリティ責任者（CISO）であるCJ Moses氏のブログ投稿によると、この脆弱性は、React Server Functionエンドポイントに送信されるペイロードの安全でないデシリアライゼーションに起因し、認証されていない攻撃者がリモートコード実行（RCE）を達成することを可能にするものです。Palo Alto Networksの脅威インテリジェンス研究担当シニアマネージャーであるJustin Moore氏は、これを「マスターキーエクスプロイト」と表現し、システムが正当なコードと同様に悪意のあるペイロードを実行するため、システムをクラッシュさせることなく、受信データ構造に対する信頼を悪用すると警告しています。

この脆弱性は、セキュリティ研究者のLachlan Davidson氏によって11月29日にMeta Bug Bountyプログラムを通じてReactに開示され、Reactは水曜日にパッチをリリースし、ユーザーに即時アップグレードを強く促しています。

迅速に広がる攻撃：中国系グループからボットネットまで

GreyNoiseの研究者たちは、React2Shellに対する日和見的で自動化された攻撃が既に確認されていると報告しており、Miraiやその他のボットネットの悪用キットにこの脆弱性が追加され始めていると述べています。特に、中国系の脅威グループである「Earth Lamia」と「Jackpot Panda」は、この脆弱性が開示された水曜日から数時間以内に、早速悪用を試みていたとのことです。

この脅威の深刻度を鑑み、サイバーセキュリティ・インフラセキュリティ庁（CISA）は、金曜日にこの脆弱性を「既知の悪用されている脆弱性（Known Exploited Vulnerabilities）」カタログに追加しました。

広がる影響と緊急の対策要請

Palo Alto Networksの調査では、約970,000台のサーバーがReactやNext.jsのようなモダンなフレームワークを実行しており、この脆弱性が持つリスクの広がりを浮き彫りにしています。Reactは既にパッチを提供しているため、開発者およびシステム管理者は、直ちにシステムのアップグレードを行い、この重大な脅威から保護することが不可欠です。

元記事: https://www.cybersecuritydive.com/news/state-linked-critical-vulnerability-react-server/807228/