React2Shell脆弱性:中国支援グループによって積極的に利用されているReactサーバーコンポーネントの最大深刻度の欠陥
React Server Components (RSC) の新たな最大深刻度の欠陥(CVSSスコア10.0)、通称 React2shell がサイバー脅威の状況で話題となり、最近の2つの高深刻度なAndroid Framework脆弱性(CVE-2025-48633 および CVE-2025-48572)の悪用に続いて、 RCE脆弱なデプロイメントが深刻なリスクにさらされています。
何年も前から、 中国は攻撃的なサイバー作戦を実行しており、 米国および国際的な組織をさまざまなセクターで標的にし、しばしば国家によるAPTグループを利用している Mustang Panda or APT41 情報と機密データを収集するためです。
5年間、中国の国家支援によるサイバー作戦は、ステルスと運用セキュリティをますます重要視するようになり、公共部門を含む業界全体、および世界的なサイバーセキュリティコミュニティにとって、より複雑で挑戦的な脅威の状況を生み出しています。 中国に関連するAPTグループは 最も素早く活発な国家支援による行動者であり、公開後すぐに新しいエクスプロイトを兵器化することが多いです。CrowdStrike 2025年グローバル脅威レポートによると、中国に関連する脅威者は 国家支援によるサイバー作戦を150%増加させました.
SOC Prime Platformに登録しましょう 、SOCチームのためのAIネイティブ検出インテリジェンスプラットフォームで、あらゆる洗練された脅威、新しいAPT攻撃、進化する脆弱性悪用キャンペーンに対抗するために組織を支援します。クリックして, the AI-Native Detection Intelligence Platform for SOC teams to help your organization preempt emerging threats of any sophistication, advanced APT attacks, and evolving vulnerability exploitation campaigns. Click 検出内容を探索する と、カスタム“CVE”タグでスマートにフィルタリングされた脆弱性悪用のためのSOCコンテンツの包括的なコレクションにアクセスできます。
すべての検出は、多様なSIEM、EDR、データレイクシステムに適用可能で、 MITRE ATT&CK® フレームワークにマッピングされています。また、AIネイティブの検出インテリジェンスと行動可能なメタデータが強化されており、CTI参照、攻撃タイムライン、監査設定、トリアージの推奨が含まれたスムーズな脅威調査とCTI分析を支援し、チームの運用効率を向上させます。
セキュリティチームはまた、 Uncoder AI を利用して検出エンジニアリングのワークフローをエンドツーエンドで加速し、脅威レポートから直接の自動IOC変換やカスタムハンティングクエリへの生成、自動検出論理生成、Attack Flowの可視化、ATT&CKタグの予測、複数の言語形式に対応したAI支援コンテンツを活用でき、すべてが単一ソリューション内で実現可能です。
React2Shell脆弱性分析
ディフェンダーは最近、CVE-2025-55182として追跡される、React Server Componentsの新しい最大深刻度の脆弱性、通称React2Shellを発見しました。これは、React 19.xとNext.js 15.x/16.xのApp Routerに影響を与えます。この 認証前のRCE脆弱性は によってMetaに責任を持って報告され、 によってMetaに責任を持って報告され、ReactとVercelは2025年12月3日に共同でパッチを発表しました。公開PoCエクスプロイトは、公開から約30時間後に出現し、その後すぐに研究者自身のPoCが続きました。
React2Shellは、Server Functionエンドポイントに送信されたペイロードの不安全なデシリアライゼーションから生じます。RSCペイロードを処理する際のこの論理的なデシリアライゼーションの欠陥は、未認証の攻撃者が任意のServer Functionエンドポイントに細工されたHTTPリクエストを送信し、Reactがそれをデシリアライズすることで、サーバー上で任意のJavaScriptコードを実行できるようにします。
Amazonの脅威インテルチームは報告しています 中国に関連する国家支援のコレクティブ、既存のものや新たに知られるクラスターが、RSCペイロードの不安全な処理を通じて未認証のRCEを可能にする欠陥を利用しようとしていることを報告しています。
敵は自動スキャナーと手動で実行されるPoCの両方を利用しており、一部のツールはランダムなユーザーエージェントなどの回避戦術を使用しています。彼らの活動はCVE‑2025‑55182をはるかに上回り、Amazonの監視は同じ中国のクラスターがCVE‑2025‑1338などの他の最近の脆弱性を悪用していることを示しています。これは、敵が新しい公開を追跡し、公のエクスプロイトを直ちに自らのツールに取り入れて、複数のCVEをまたいで広範なキャンペーンを展開し、対象到達を最大化する体系的モデルを強調しています。
特に、多くの敵は、実際のデプロイメントでは機能しない公開されたPoCに依存しています。GitHubコミュニティは、脆弱性を誤解した多くの例を指摘しており、危険なモジュールを不適切に登録したデモや、パッチ後も悪用可能なものを含んでいます。それでも攻撃者はこれらを利用し続けており、迅速な採用が検証に勝る、高頻度のスキャン、公開エクスプロイトの入手しやすさによる参入障壁の低さ、より標的を絞った攻撃を覆い隠すログノイズなどの明確な行動傾向が浮き彫りになっています。
AWS MadPotのテレメトリは、敵が悪用の試みを継続的に反復していることを確認しています。特定されていないクラスター(IP 183[.]6.80.214)は12月4日にほぼ1時間にわたってペイロードのテストを繰り返し、52分間に100以上のリクエストを発行し、Linuxコマンドを実行し、ファイルライティングを試みるなどして、 /tmp/pwned.txtや、 /etc/passwdの読み取りを試みました。これにより、攻撃者が単に自動スキャンを発射するのではなく、ライブシステムに対して積極的にデバッグと技術の洗練を行っていることが示されています。
特に、脅威はApp Routerを使用するNext.jsアプリケーションにも影響します。当初は CVE‑2025‑66478として割り当てられ、CVSSスコアは10.0でしたが、NIST NVDによってReact2Shellの脆弱性の重複としてマークされています。
Wizは クラウド環境の39% がCVE‑2025‑55182とCVE‑2025‑66478に対して脆弱性があるシステムを持つと報告しています。AWSサービスは影響を受けていませんが、両方の脆弱性の重大な性質から、ユーザーは最大限の保護を確保するために直ちにパッチを適用するよう強く求められています。
ReactやNext.jsをEC2やコンテナ、その他の自己管理環境で実行している組織は、遅滞なくアップデートを適用するべきです。React2Shellの悪用からのリスクを最小限に抑えるため、影響を受けたReactおよびNext.jsアプリケーションをAWSセキュリティブリテンに従い、 パッチ済みバージョンにすぐに更新してください。暫定的な措置として、防御者は、エクスプロイト試みをブロックするためのAWS WAFのカスタムルールをブリテンに記載して展開することを推奨します。 for patched versions. As an interim measure, defenders are recommended to deploy the custom AWS WAF rule provided in the bulletin to block exploit attempts.
一方、 Cloudflareは発表しています React2Shell緩和ステップとしてクラウドベースのWAFに新しい保護策を実装しました。同社によれば、すべての顧客は無料と有料の両方を含めて、ReactアプリケーションのトラフィックがCloudflareのプロキシを通じてルーティングされている限り保護されています。
アクティブに悪用される脆弱性の数が増え続ける中、先見的な組織は強く堅牢なセキュリティ姿勢を確保するために、前向きなサイバー防御を優先しています。 SOC PrimeのAIネイティブ検出インテリジェンスプラットフォーム が組織のサイバー防御をスケールで向上させ、AI技術とトップのサイバーセキュリティ・エクスパートを活用しながら、リソースの効果を最大化しています。
