Reactの深刻な脆弱性「React2Shell」の悪用事例 Google脅威インテリジェンス部門が報告:脅威アクターは「中国関連」「暗号通貨マイニング目的」の2タイプ
Google Threat Intelligence Groupは、React2Shell脆弱性の悪用事例を観測したと報告し、侵害の検出方法と推奨対策を紹介した。
Googleの脅威インテリジェンス部門Google Threat Intelligence Group(以下、GTIG)は2025年12月13日(米国時間)に公式ブログで、「React Server Componentsにおける認証不要のリモートコード実行(RCE)の脆弱(ぜいじゃく)性」(CVE-2025-55182)の悪用事例を観測したと報告し、それらの概要に加え、侵害の検出方法と推奨対策を紹介した。
この脆弱性は「React2Shell」と呼ばれており、既に「React」の開発チームから下記記事のように報告されている。
GTIGが観測した悪用事例
GTIGは、複数の地域や業界で多様なペイロードと悪用後の挙動を観測しているが、中国に関連する脅威アクターと、金銭的動機に基づく脅威アクターによる悪用事例に焦点を当てて、次のように報告している。
中国関連の活動
GTIGは、中国関連の脅威クラスタがReact2Shellの脆弱性を悪用し、以下のようなマルウェアを展開して、世界中のネットワークを侵害していることを確認している。
- MINOCATトンネラ
中国関連のスパイ活動クラスタ「UNC6600」(※)が展開。隠しディレクトリを作成し、cronジョブとsystemdサービスで永続性を確立する - SNOWLIGHTダウンローダ
脅威アクター「UNC6586」が展開。Go言語で記述されたマルチプラットフォームバックドア「VSHELL」のコンポーネント - COMPOODバックドア
脅威アクター「UNC6588」が展開。COMPOODは、歴史的に中国関連のスパイ活動に関連付けられているが、UNC6588の動機は現時点で不明 - HISSONICバックドア
脅威アクター「UNC6603」がHISSONICバックドアの更新版を展開。HISSONICは、「Cloudflare Pages」「GitLab」などの正規クラウドサービスを利用して暗号化設定を取得し、アジア太平洋地域のクラウドインフラを標的としている - ANGRYREBEL.LINUX
脅威アクター「UNC6595」が展開。「OpenSSH」デーモン(sshd)に偽装して検知を回避し、タイムスンプ(ファイル時刻の改ざん)やシェル履歴クリアなどのアンチフォレンジック活動を行う
※UNCxxxxは、GTIGが追跡対象の脅威アクターに与えている名前。
金銭的動機による活動
GTIGは、脅威アクターが2025年12月5日以降、CVE-2025-55182を悪用し、違法な暗号通貨マイニングのために「XMRig」ツールを展開する複数の事例を観測している。地下フォーラムでは、スキャンツールやPoC(概念実証)コードの共有が活発化している。
推奨事項
GTIGは、Reactまたは「Next.js」を使用している組織は、以下を直ちに実行すべきだと推奨している。
1.パッチの適用
CVE-2025-55182の脆弱性を解消する。CVE-2025-55182以降に公開されたReactの3つの脆弱性(CVE-2025-55183、CVE-2025-55184、CVE-2025-67779)も解消する。
2.Webアプリケーションファイアウォール(WAF)ルールを展開する
これらの脆弱性を悪用する試みを検知、ブロックするように設計されたWAFを展開する。これは、脆弱なインスタンスのパッチ適用と検証が完了するまでの一時的な緩和策となる。
3.依存関係を監査する
脆弱なReact Server Componentsが、環境内の他のアプリケーションの依存関係として含まれているかどうかを確認する。
4.ネットワークトラフィックを監視する
侵害指標(IOC)リスト(後述)に含まれる指標への送信接続について、ログを確認する。特に、Webサーバプロセスによって開始された「wget」や「cURL」コマンドに注意する。
5.侵害の痕跡を調査する
隠しディレクトリの作成、プロセスの不正終了、シェル設定ファイルへの悪意ある実行ロジックの注入を探す。
侵害指標(IOC)
GTIGは、最近の調査で観測した侵害の指標を表にまとめて示している。その中には、SNOWLIGHT C2(Command and Control)サーバ、COMPOOD C2サーバのIPアドレスや、各種マルウェアサンプルのハッシュ値などが含まれている。
YARAルール
GTIGは、MINOCAT、COMPOOD、SNOWLIGHTについて、マルウェアの解析、検知ツールである「YARA」のルールに従って記述している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
npmパッケージを狙った2度目の大規模攻撃 492のパッケージが自己増殖型ワーム「Shai Hulud」に感染
セキュリティSaaSを手掛けるAikido Securityは、npmパッケージを標的とした自己複製型ワーム「Shai Hulud」による2回目の大規模サプライチェーン攻撃を観測したと発表した。
Webアプリの10大リスク2025年版 3ランク上昇の「設定ミス」を抑えた1位は?
4年ぶりの「OWASP Top 10 2025」が公開された。できる限り「症状」ではなく「根本原因」に焦点を当てるように刷新したという。
脆弱性を速やかに公表しない輩は、わたくしが成敗いたしますわ!
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第53列車は「脆弱性を発見したときの対処法 続編」です。※このマンガはフィクションです。