CVE-2025-55182 및 CVE-2025-66478: RSC/Next.js 원격 코드 실행 취약점 고성능 탐지

요약

원격 코드 실행 결함은 React Server Components를 사용하는 Next.js 애플리케이션에 영향을 미칩니다. 이 문제는 특수 제작된 멀티파트 HTTP 요청을 보내어 사전 접근 없이 트리거될 수 있습니다. 여러 공개된 개념 증명 익스플로이트가 존재하지만, 많은 경우 신뢰할 수 없거나 잘못되었습니다. 이 기사는 특성 서버 오류 응답에 의존하는 고충실도 탐지 기술을 소개합니다.

조사

연구자들은 React Server Component 파싱 로직을 조사한 결과 대상 객체가 없을 때 콜론으로 구분된 속성 참조가 500 오류를 생성할 수 있다는 사실을 발견했습니다. 그런 다음 이 조건을 신뢰할 수 있게 트리거하는 멀티파트 페이로드를 구축하고 반복 가능한 응답 패턴을 확인했습니다. 제안된 탐지 규칙은 특이한 E{"digest" 부분이 포함된 HTTP 500 응답을 표시합니다.

완화

완화 단계는 콜론 표기 주변에 추가 보호 장치가 포함된 버전으로 영향을 받는 Next.js 릴리스를 업그레이드하는 것을 포함합니다. 조직은 악성 멀티파트 구조를 차단하기 위해 WAF 규칙을 배포하고 React Server Components에 영향을 미치는 모든 수신 요청이 검증되고 정화되도록 해야 합니다.

대응

보안 팀은 노출된 웹 애플리케이션을 설명된 요청-응답 서명에 대해 스캔하고 취약한 Next.js 인스턴스에 대한 수정을 우선시해야 합니다. 익스플로잇이 의심된다면 영향을 받은 서버를 격리하고 코드 실행 증거를 위해 로그를 보존 및 검토하며 관련 패치를 지체 없이 적용해야 합니다.

시뮬레이션 실행

전제 조건: 텔레메트리 및 베이스라인 프리플라이트 체크가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적대자의 기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 설명은 발견된 TTP를 직접 반영하고 탐지 로직에 의해 예상되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예시는 오진으로 이어질 것입니다.

• 공격 서사 및 명령:
  공격자는 대상이 취약한 버전의 Next.js를 실행하고 있음을 확인한 후 합법적인 자산 업로드 흐름을 모방하는 악의적인 멀티파트 요청을 제작합니다. 설정하여User-Agent를Assetnote/1.0.0로 설정하고 내부 Next.js 헤더를 주입하여Next-Action: x와X-Nextjs-Request-Id: b5dce965를 사용하면 페이로드는 신뢰할 수 없는 데이터를 역직렬화하는 서버 측 컴포넌트를 트리거하여 런타임 예외를 발생시킵니다. 서버는 HTTP 500으로 응답하고 시리얼라이즈된 다이제스트({“digestE{"digest)을 포함하며, 이는 탐지 규칙에서 주시합니다.

• 회귀 테스트 스크립트:

  #!/usr/bin/env bash
  #
  # Exploit simulation for Next.js RCE detection rule (T1595.002)
  # Generates the exact packet pattern the Sigma rule expects.
  #
  TARGET="http://127.0.0.1"
  ENDPOINT="/"
  USER_AGENT="Assetnote/1.0.0"
  BOUNDARY="----WebKitFormBoundary$(date +%s)"
  
  # Minimal multipart body; content is irrelevant for the detection.
  read -r -d '' PAYLOAD <<EOF
  --$BOUNDARY
  Content-Disposition: form-data; name="file"; filename="exploit.txt"
  Content-Type: text/plain
  
  exploit
  --$BOUNDARY--
  EOF
  
  curl -s -o /dev/null -w "%{http_code}n" -X POST "${TARGET}${ENDPOINT}" 
    -H "User-Agent: ${USER_AGENT}" 
    -H "Next-Action: x" 
    -H "X-Nextjs-Request-Id: b5dce965" 
    -H "Content-Type: multipart/form-data; boundary=${BOUNDARY}" 
    --data-binary "$PAYLOAD"

  대상 웹 서버에 도달할 수 있는 머신에서 스크립트를 실행합니다. 예상되는 HTTP 상태는500이며 서버의 오류 로그에E{"digest문자열이 포함될 것입니다.

• 정리 명령:

  # No persistent changes on the target; simply remove any temporary files locally
  rm -f /tmp/exploit_payload.tmp 2>/dev/null || true