React2Shell 취약점: 중국 지원 그룹에 의해 적극적으로 악용되는 React 서버 컴포넌트의 최대 중대 결함
React Server Components (RSC)에서 발견된 새로운 최대 심각도 결함(기술 평가 점수 10.0)을 가진 React2shell이 사이버 위협 환경에서 큰 파장을 일으키고 있으며, 최근 두 개의 높은 심각도 안드로이드 프레임워크 취약점의 악용에 이어 나타났습니다 (CVE-2025-48633 및 CVE-2025-48572). 방어자들은 여러 중국 정부 지원 그룹이 React2Shell 취약점을 악용하여 RCE취약한 배포를 큰 위험에 빠뜨리고 있다고 관찰했습니다.
수년간, 중국은 공격적인 사이버 작전을 수행해왔으며 미국 및 여러 국제 조직의 다양한 부문을 대상으로 하면서 국가 지원 APT 그룹을 활용했습니다. Mustang Panda or APT41 은 정보와 민감한 데이터를 수집하기 위해 자주 사용되었습니다.
지난 반세기 동안, 중국의 정부 지원 사이버 작전은 점점 더 은밀성과 운영 보안을 강조하면서, 공공 부문 뿐만 아니라 모든 산업에 걸쳐 복잡하고 도전적인 위협 환경을 조성했습니다. 이는 글로벌 사이버 보안 커뮤니티에도 큰 도전입니다. 중국과 관련된 APT 그룹들은 가장 빠르고 활발한 국가 지원 공격자들로, 공개 후 거의 즉시 새로운 결함을 무기화하는 경향이 있습니다. CrowdStrike 2025 글로벌 위협 보고서에 따르면, 중국과 관련된 위협 세력은 국가 지원 사이버 작전을 150% 증가시켰습니다.
에 등록하세요 SOC Prime 플랫폼, 조직의 새롭게 떠오르는 위협, 고급 APT 공격 및 진화하는 취약점 악용 캠페인에 앞서 나가도록 SOC 팀을 위한 AI-기반 탐지 지능 플랫폼. 클릭하여 탐지 탐색 여기에서 취약점 악용을 위한 SOC 콘텐츠의 포괄적인 컬렉션에 접근하세요. 사용자 정의 ‘CVE’ 태그로 똑똑하게 필터링되었습니다.
모든 탐지는 다양한 SIEM, EDR 및 데이터 레이크 시스템에 적용될 수 있으며, MITRE ATT&CK® 프레임워크에 매핑됩니다. AI-기반 탐지 지능과 실행 가능한 메타데이터, CTI 참조, 공격 타임라인, 감사 구성, 위협 연구 및 CTI 분석을 간소화하는 트리아지 권장 사항을 포함하여 강화되어 팀이 운영 효율성을 높일 수 있습니다.
보안 팀은 또한 Uncoder AI 에 의존하여 종단 간 탐지 엔지니어링 워크플로우를 가속화하고 자동화된 IOC 변환을 사용자 정의 사냥 쿼리로, 위협 보고서에서 직접 자동 탐지 로직 생성, 공격 흐름 시각화, ATT&CK 태그 예측, 여러 언어 형식을 넘나드는 AI 지원 콘텐츠의 이점을 누릴 수 있습니다—모두 하나의 솔루션 안에서 가능합니다.
React2Shell 취약점 분석
방어자들은 최근 CVE-2025-55182로 추적되는 React Server Components의 새로운 최대 심각도 취약점을 발견했으며, React 19.x 및 Next.js 15.x/16.x의 App Router에 영향을 미친다고 보고했습니다. 이러한 인증 전 RCE 결함 은 Lachlan Davidson에 의해 Meta에 책임 있게 보고되었습니다. React 및 Vercel은 2025년 12월 3일에 패치를 공동 배포했습니다. 공개 PoC는 공개 이후 약 30시간 후에 나타났고 이어 연구원의 자체 PoC가 발표되었습니다.
React2Shell은 서버 기능 엔드포인트로 보내진 HTTP 요청을 통해 페이로드의 안전하지 않은 역직렬화에서 발생합니다. RSC 페이로드 처리의 논리적 역직렬화 결함은 권한이 없는 공격자가 임의의 서버 기능 엔드포인트로 조작된 HTTP 요청을 보낼 수 있게 하며, React는 이를 역직렬화하여 서버에서 임의의 JavaScript 코드를 실행할 수 있게 합니다.
Amazon 위협 인텔리전스 팀은 보고합니다 중국 국가 지원 집단, 이전에 알려지지 않은 클러스터를 포함한 Earth Lamia 및 Jackpot Panda가 이미 이 결함을 무기화하려고 시도 중이며, 이는 RSC 페이로드의 안전하지 않은 처리로부터 인증되지 않은 RCE를 가능하게 합니다.
대항자들은 자동화된 스캐너와 수동으로 실행된 PoC 모두를 활용하고 있으며, 일부 도구는 무작위로 사용자 에이전트를 사용하여 회피 전술을 구사합니다. 이들의 활동은 CVE‑2025‑55182를 훨씬 넘어서, 아마존의 모니터링은 같은 중국 클러스터가 CVE‑2025‑1338과 같은 다른 최근의 취약점을 악용하는 것을 보여줍니다. 이 통합 모델은 대항자들이 새로운 공개사항을 추적하고, 공개된 익스플로잇을 즉시 그들의 도구에 접목하여 다중 CVE를 한 번에 공격하는 확장 캠페인을 런칭해 목표 도달성을 극대화한다는 것을 강조합니다.
특히, 많은 대항자는 실제 배포에서 작동하지 않는 공개된 PoC에 의존합니다. GitHub 커뮤니티는 취약점을 잘못 해석하여 위험한 모듈을 잘못 등록하거나 패치 후에도 여전히 익스플로잇 가능한 체 남아 있는 많은 사례를 지적했습니다. 그러나 공격자들은 여전히 이를 계속 사용하여 명확한 행동 패턴, 검증보다는 빠른 채택, 대량 스캐닝, 공개된 익스플로잇 가용성으로 인한 낮은 진입장벽 및 로그 노이즈가 더 타깃이 된 공격을 가릴 수 있는 트렌드를 제공합니다.
AWS MadPot 원격 분석은 대항자들이 그들의 익스플로잇 시도를 끊임없이 반복한다는 것을 확인합니다. 불명의 클러스터 (IP 183[.]6.80.214)가 12월 4일에 페이로드를 반복적으로 테스트하며 52분 동안 100건 이상의 요청을 발행하고, Linux 명령을 실행하고, 파일을 /tmp/pwned.txt에 쓰기 시도를 하고, /etc/passwd를 읽으려고합니다. 이는 공격자들이 단순히 자동화된 조사만 하는 것이 아니라 라이브 시스템에 대한 기법을 적극적으로 디버깅 및 개선하고 있음을 보여줍니다.
특히, 이 위협은 App Router를 사용하는 Next.js 애플리케이션에도 영향을 줍니다. 원래 CVE‑2025‑66478로 CVSS 점수 10.0과 함께 할당되었지만, 이후 React2Shell 취약점의 중복으로 NIST NVD에서 표기되었습니다.
Wiz는 보고했습니다 클라우드 환경의 39%가 CVE‑2025‑55182 및 CVE‑2025‑66478에 영향을 받을 수 있는 시스템을 보유하고 있다고 합니다. AWS 서비스는 영향을 받지 않지만, 두 취약점의 치명적 특성을 고려하여 사용자들은 최대한의 보호를 위해 즉시 패치를 적용해야 합니다.
EC2에서 React 또는 Next.js를 실행하는 또는 기타 자체 관리 환경에서 구동 중인 조직은 지체 없이 업데이트를 적용해야 합니다. React2Shell 악용으로부터의 위험을 최소화하려면, 영향을 받는 React 및 Next.js 애플리케이션을 AWS 보안 공지 의 패치된 버전 참조에 따라 즉시 업데이트하십시오. 중간 조치로서, 방어자는 공지에 제공된 사용자 정의 AWS WAF 규칙을 배포하여 익스플로잇 시도를 차단하는 것이 추천됩니다.
한편, Cloudflare는 발표했습니다 클라우드 기반 WAF에 새로운 보호 장치를 구현하여 React2Shell 완화 조치로 삼았습니다. 이에 따라 회사는 모든 고객, 무료 및 유료 모두,가 Cloudflare의 프록시를 통해 React 애플리케이션 트래픽을 라우팅하는 경우 보호된다고 밝혔습니다.
활성 악용되는 취약점의 수가 계속 증가함에 따라, 미래지향적인 조직들은 강력하고 탄력적인 보안 태세를 보장하기 위해 사전적인 사이버 방어를 우선시합니다. SOC Prime의 AI-기반 탐지 지능 플랫폼 은 조직들이 AI 기술과 최고급 사이버 보안 전문성을 활용하면서 리소스의 효과를 극대화함으로써 대규모로 사이버 방어를 향상시키도록 도와줍니다.
