中国に関連する複数の脅威行為者が、ReactとNext.jsに影響を及ぼすReact2Shellの脆弱性(CVE-2025-55182)の悪用を開始した。
React2Shellは、React Server Components(RSC)の「Flight」プロトコルにおける安全でないデシリアライズの脆弱性です。この脆弱性を悪用すると、認証を必要とせず、サーバーのコンテキスト内でJavaScriptコードをリモートで実行される可能性がある。
Next.jsフレームワークについては、CVE-2025-66478という識別子がありますが、この追跡番号はCVE-2025-55182と重複するとして、National Vulnerability DatabaseのCVEリストで拒否されました。
このセキュリティ問題は活用しやすく、いくつかの概念実証(PoC)エクスプロイトがすでに公開されており、関連する脅威活動のリスクが高まっている。
この脆弱性は、広く使用されているライブラリの複数のバージョンにまたがっており、何千もの依存プロジェクトが危険にさらされる可能性があります。Wizの研究者によると、観測できたクラウド環境の39%がReact2Shell攻撃の影響を受けやすいという。
ReactとNext.jsはセキュリティアップデートをリリースしているが、この問題は認証なし、デフォルトの設定でも悪用可能だ。
進行中のReact2Shell攻撃
Amazon Web Services(AWS)のレポートによると、中国に関連するEarth LamiaとJackpot Pandaの脅威アクターは、公開後すぐにReact2Shellの悪用を開始したと警告しています。
「2025年12月3日にCVE-2025-55182(React2Shell)が公開されてから数時間以内に、Amazonの脅威インテリジェンスチームは、Earth LamiaとJackpot Pandaを含む複数の中国国家に関連する脅威グループによる活発な悪用の試みを観測した」とAWSの報告書は述べている。
AWSのハニーポットはまた、既知のクラスタに起因するものではないが、依然として中国ベースのインフラストラクチャに由来する活動も捕らえた。
攻撃クラスターの多くは同じ匿名化インフラを共有しており、個別追跡や特定の帰属をさらに複雑にしている。
特定された2つの脅威グループについて、Earth Lamiaはウェブアプリケーションの脆弱性を悪用することに焦点を当てています。
典型的な標的は、ラテンアメリカ、中東、東南アジアの金融サービス、ロジスティクス、小売、IT企業、大学、政府機関などです。
Jackpot Pandaの標的は通常、東アジアおよび東南アジアにあり、その攻撃は汚職や国内のセキュリティに関する情報収集を目的としています。
PoCが利用可能に
React2Shellを発見し報告した研究者であるLachlan Davidson氏は、オンラインで出回っている偽のエクスプロイトについて警告した。しかし、Rapid7の研究者Stephen Fewer氏とElastic SecurityのJoe Desimone氏によって有効性が確認されたエクスプロイトがGitHubに登場した。
AWSが観測した攻撃は、標的環境に対する反復的な手動テストとリアルタイムのトラブルシューティングに加え、壊れたエクスプロイトを含む公開エクスプロイトをミックスして活用している。
観測された活動には、異なるペイロードでの繰り返される試行、Linuxコマンドの実行(whoami、id)、ファイルの作成試行(/tmp/pwned.txt)、‘/etc/passwd/‘の読み取り試行などが含まれる。
「この挙動は、脅威行為者が自動スキャンを実行しているだけでなく、ライブターゲットに対して積極的に悪用テクニックをデバッグし、改良していることを示しています」とAWSの研究者はコメントしている。
攻撃サーフェス管理(ASM)プラットフォームのAssetnoteは、React2Shellに対して脆弱な環境かどうかを判断するために使用できるReact2ShellスキャナーをGitHubで公開した。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する
壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。
この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。
Comments