概要
セキュリティチームは、React Server Componentsの深刻な脆弱性に関連する潜在的な侵害の増加に対応していると発表しました。この危機は予想以上に広範囲に及んでおり、多くの組織で脅威活動が確認されています。
脆弱性の詳細と影響
この脆弱性はCVE-2025-55182として追跡されており、認証されていない攻撃者が安全でないペイロードのデシリアライゼーションを通じてリモートコード実行(RCE)を達成することを可能にします。Shadowserverは、スキャンターゲットの改善後、潜在的に脆弱なコードを持つ165,000以上のIPと644,000のドメインを報告しました。
Palo Alto Networksによると、これまでに50以上の組織で悪用後の脅威活動が観測されています。影響を受けた組織は、メディア、金融サービス、ビジネスサービス、テクノロジー、連邦・州・地方政府、電気通信など、多岐にわたるセクターに及んでいます。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性に関連する勧告を更新し、セキュリティチームに対し、緩和策を適用した後もインターネットに公開されているすべてのReactインスタンスで侵害の兆候がないか確認するよう求めました。この欠陥に対処するためのパッチはすでに発行されています。
攻撃者の活動
以前に報告された通り、この脆弱性は中国と関連する「Earth Lamia」および「Jackpot Panda」として追跡されている国家支援型アクターによって標的とされています。さらに、Palo Alto Networksは、火曜日に北朝鮮と関連する偽のITリクルーターが参入し、脅威活動が拡大したと報告しました。「Contagious Interview」と追跡されているこのキャンペーンでは、偽のITリクルーターが求職者のコンピューターにマルウェアをインストールします。また、北朝鮮と関連するアクターは、公開ブロックチェーンを利用してマルウェアを配信し、暗号通貨を窃取する「EtherHiding」という手法を使用しているほか、中国と関連する「Red Menshen」として知られるアクターと関連付けられているLinuxバックドア「BPFDoor」の利用も検出されました。
GreyNoiseの研究者は月曜日に、362のユニークなIPアドレスがこの脆弱性を標的としていることを報告し、リモートスクリプト実行、リバースシェル/ダウンローダースクリプト、SSH永続化、ディレクトリ偵察など、さまざまな攻撃手法が実証されています。
セキュリティチームへの呼びかけ
組織は、この深刻な脆弱性に対処するために、パッチの適用に加え、既存のシステムにおける潜在的な侵害の兆候を徹底的に調査し、迅速な対応が求められます。