React2Shell 脆弱性 (CVE-2025-55182) に対する中国関連脅威アクターの活発な悪用活動

2025 年 12 月 3 日に CVE-2025-55182 (React2Shell) が公開されてから数時間以内に、Amazon の脅威インテリジェンスチームは、Earth Lamia や Jackpot Panda を含む複数の中国国家支援型脅威グループによる活発な悪用試行を観測しました。React Server Components におけるこの重大な脆弱性は、共通脆弱性評価システム (CVSS) スコアが最大値の 10.0 であり、App Router を使用している React バージョン 19.x および Next.js バージョン 15.x と 16.x に影響します。この脆弱性は AWS サービスには影響しませんが、お客様自身の環境で React または Next.js アプリケーションを実行しているお客様が直ちに対応できるよう、この脅威インテリジェンスを共有します。

中国は引き続き国家支援型サイバー脅威アクティビティの最も活発な発信源であり、脅威アクターは公開エクスプロイトを開示から数時間または数日以内に日常的に実戦投入しています。AWS MadPot ハニーポットインフラストラクチャでの監視を通じて、Amazon の脅威インテリジェンスチームは、既知のグループとこれまで未特定だった脅威グループの両方が CVE-2025-55182 の悪用を試みていることを特定しました。AWS は、Sonaris アクティブディフェンス、AWS WAF マネージドルール (AWSManagedRulesKnownBadInputsRuleSet バージョン 1.24 以降)、および境界セキュリティコントロールを通じて、複数層の自動保護をデプロイしています。ただし、これらの保護はパッチ適用の代替にはなりません。お客様がフルマネージド AWS サービスを使用しているかどうかに関わらず、お客様の環境で影響を受けるバージョンの React または Next.js を実行している場合は、直ちに最新のパッチ適用済みバージョンに更新する必要があります。お客様自身の環境 (Amazon Elastic Compute Cloud (Amazon EC2)、コンテナなど) で React または Next.js を実行しているお客様は、脆弱なアプリケーションを直ちに更新する必要があります。

Lachlan Davidson によって発見され、2025 年 11 月 29 日に React チームに開示された CVE-2025-55182 は、React Server Components における安全でないデシリアライゼーション脆弱性です。この脆弱性はセキュリティ研究者によって React2Shell と名付けられました。

主要な事実

• CVSS スコア: 10.0 (最大深刻度)
• 攻撃ベクトル: 認証不要のリモートコード実行
• 影響を受けるコンポーネント: React 19.x および App Router を使用する Next.js 15.x/16.x の React Server Components
• 重要な詳細: React Server Components をサポートしている限り、サーバー関数を明示的に使用していなくてもアプリケーションは脆弱です

この脆弱性は Vercel によって Meta および AWS を含む主要なクラウドプロバイダーに責任を持って開示され、脆弱性の公開開示前に協調的なパッチ適用と保護のデプロイが可能になりました。

AWS MadPot ハニーポットインフラストラクチャにおける悪用試行の分析により、既知の中国国家支援型脅威アクターに歴史的に関連する IP アドレスとインフラストラクチャからの悪用アクティビティを特定しました。中国の脅威グループ間で匿名化インフラストラクチャが共有されているため、攻撃主体の明確な特定は困難です。

• Earth Lamia に関連するインフラストラクチャ: Earth Lamia は、ラテンアメリカ、中東、東南アジアの組織を標的とするために Web アプリケーションの脆弱性を悪用することで知られる中国関連のサイバー脅威アクターです。このグループは歴史的に、金融サービス、物流、小売、IT 企業、大学、政府組織などのセクターを標的としてきました
• Jackpot Panda に関連するインフラストラクチャ: Jackpot Panda は、主に東アジアおよび東南アジアのエンティティを標的とする中国関連のサイバー脅威アクターです。このアクティビティは、国内の安全保障と汚職に関する懸念に関連する収集の優先事項と一致している可能性があります
• 共有匿名化インフラストラクチャ: 大規模な匿名化ネットワークは中国のサイバー作戦の特徴となっており、攻撃元を隠しながら偵察、悪用、コマンド&コントロール (C2) アクティビティを可能にしています。これらのネットワークは複数の脅威グループによって同時に使用されるため、特定のアクティビティを個々のアクターに結びつけることが困難になっています

これは、中国関連のサイバー脅威アクティビティと共通性を持つ他の多くの攻撃主体不明の脅威グループに加えてのものです。攻撃主体不明のアクティビティで観測された自律システム番号 (ASN) の大部分は中国のインフラストラクチャに関連しており、ほとんどの悪用アクティビティがその地域から発生していることをさらに確認しています。これらのグループが公開概念実証 (PoC) エクスプロイトを実戦投入した速さは、重大な事実を浮き彫りにしています。すなわち、PoC がインターネットに公開されると、高度な脅威アクターはそれらを迅速に武器化するということです。

脅威アクターは、自動スキャンツールと個別の PoC エクスプロイトの両方を使用しています。観測された一部の自動ツールには、ユーザーエージェントのランダム化などの検出を阻止する機能があります。これらのグループは、CVE-2025-55182 にアクティビティを限定していません。Amazon の脅威インテリジェンスチームは、CVE-2025-1338 を含む他の最近の N-day 脆弱性を同時に悪用していることを観測しました。これは体系的なアプローチを示しています。脅威アクターは新しい脆弱性の開示を監視し、公開エクスプロイトをスキャンインフラストラクチャに迅速に統合し、複数の CVE にわたって広範なキャンペーンを同時に実施して、脆弱なターゲットを見つける可能性を最大化します。

調査からの注目すべき観察は、多くの脅威アクターが実際のシナリオでは実際には機能しない公開 PoC を使用しようとしていることです。GitHub セキュリティコミュニティは、脆弱性の仕組みを正しく理解していない複数の PoC を特定しています。

• 一部の悪用可能なアプリケーションの例では、サーバーマニフェストに危険なモジュール (fs、child_process、vm) を明示的に登録していますが、これは実際のアプリケーションでは決して行うべきではありません
• いくつかのリポジトリには、安全なバージョンにパッチを適用した後でも脆弱なままになるコードが含まれています

多くの公開 PoC の技術的不備にもかかわらず、脅威アクターは依然としてそれらを使用しようとしています。これはいくつかの重要なパターンを示しています。

• 正確性より速度: 脅威アクターは徹底的なテストよりも迅速な実戦投入を優先し、利用可能な任意のツールでターゲットを悪用しようとします
• ボリュームベースのアプローチ: 複数の PoC (機能しないものでも) で広範にスキャンすることで、アクターは脆弱な設定のわずかな割合を見つけることを期待しています
• 参入障壁の低さ: 公開エクスプロイトの利用可能性は、欠陥があっても、より洗練されていないアクターが悪用キャンペーンに参加することを可能にします
• ノイズの生成: 失敗した悪用試行はログに大量のノイズを生成し、より高度な攻撃を隠す可能性があります

MadPot からのデータ分析により、これらの悪用試行の持続的な性質が明らかになりました。注目すべき例として、IP アドレス 183[.]6.80.214 に関連する攻撃主体不明のアクティビティの脅威グループが、約 1 時間 (2025/12/4 02:30:17 〜 03:22:48 UTC) にわたって体系的に悪用試行のトラブルシューティングを行いました。

• 52 分間で合計 116 件のリクエスト
• 複数のエクスプロイトペイロードを試行
• Linux コマンド (whoami、id) の実行を試行
• /tmp/pwned.txt へのファイル書き込みを試行
• /etc/passwd の読み取りを試行

この動作は、脅威アクターが単に自動スキャンを実行しているだけでなく、実際のターゲットに対して悪用技術を積極的にデバッグし、改良していることを示しています。