Source:https://thehackernews.com/2025/12/react2shell-exploitation-delivers.html
🛡 概要
Huntressの新たな観測によれば、React Server Components(RSC)の重大な欠陥(CVE-2025-55182)を突く「React2Shell」の悪用が活発化し、仮想通貨マイナーや未公表の新種マルウェア群(PeerBlight、CowTunnel、ZinFoq ほか)が複数業種に投入されています。建設・エンタメ分野で顕著に狙われ、12月4日(UTC)にはWindows端末への最初の試行が確認されています。Shadowserverは12月8日時点で脆弱なコードを含むIPが16.5万件、ドメインが64.4万件と報告しました。対象は react-server-dom-webpack / -parcel / -turbopack を利用する実装やNext.jsのRSC機能です。CVSSは未公表(報道上はCritical/最大深刻度相当)です。
🔍 技術詳細
攻撃者はRSCのリモートコード実行(RCE)を未認証で成立させ、Webサーバ上でシェルを起動します。初動では、公開リポジトリから直接XMRig 6.24.0を取得するドロッパ(例:sex.sh)が用いられ、続いて新種バックドアやC2関連ペイロードが展開されます。PeerBlightはLinux向けバックドアで、systemdサービスを作成して永続化し、ユーザ空間プロセスを「ksoftirqd」に偽装して検知逃れを図ります。C2は 185.247.224[.]41:8443 にハードコードされ、ファイルの送受信・削除、権限変更、任意バイナリ実行、リバースシェル、自己更新などを実装。さらにDGAとBitTorrent DHTをフォールバックC2として用い、ノードIDの先頭に「LOLlolLOL」を付与することでボットネット仲間を見分け、条件一致時のみ構成情報を限定的に共有します(ノイズ低減目的と推測)。
CowTunnelはFRP(Fast Reverse Proxy)を利用するリバースプロキシで、内部から外部の攻撃者管理サーバへアウトバウンド接続を開始し、インバウンド監視主体のファイアウォールを回避します。ZinFoqはGo製のポストエクスプロイト用ELFで、/bin/bash経由のコマンド実行、ディレクトリ列挙、ファイル取得・削除、追加ペイロードのダウンロード、情報・ファイル流出、SOCKS5プロキシ起動/停止、TCPポートフォワード、タイムスタンプ改変(timestomping)、リバースPTYシェルを備え、履歴削除で痕跡を薄め、/sbin/audispd や /usr/sbin/cron -f など正規サービス名に偽装します。Sliver C2デプロイ用の d5.sh、自己更新機構を持つ fn22.sh、Kaiji系DDoSマルウェアの派生 wocaosinm.sh なども観測されています。
観測では、脆弱なNext.js実装に対する同一パターンのプローブやシェルコードテスト、C2基盤の使い回しが確認され、Linux専用のペイロードがWindowsに投下されるケースもあり、自動化された悪用ツールの使用が示唆されます。攻撃前段には、公開のGitHubツールで脆弱なNext.jsインスタンスを能動的に探索した痕跡があり、発見後に一斉投入するワークフローが推定されます。
⚠ 影響
・リソース搾取:CPU/GPUの占有によるSLA低下、クラウド料金の急増(XMRig展開)
・持続的侵害:PeerBlightやZinFoqによる恒常的C2、横展開の足掛かり
・データ流出/改ざん:ファイル取得・削除・権限変更やリバースシェル経由の手動操作
・回避/秘匿:DGA/DHTによる冗長なC2、プロセス偽装、履歴削除、タイムスタンプ改変
・サービス妨害:Kaiji系機能の流用によるDDoSリスク
特にRSC/Next.jsを外部公開するSaaS、メディア配信、B2Bポータルが同時多発的に狙われる恐れがあります。
🛠 対策
1) パッチ適用:react-server-dom-* およびNext.jsのベンダ勧告に従い即時更新(CVE-2025-55182)。アプリCI/CDでSCA(Software Composition Analysis)により依存関係を強制更新。
2) 露出縮小:RSC関連エンドポイントの一時遮断やWAF導入、メンテナンスポータル等のIP制限/認証付与。
3) Egress制御:未知宛先への外向き通信をゼロトラスト/プロキシで制限。FRP既知ポートやC2(例:185.247.224.41:8443)への通信をブロック。
4) 実行防止:サーバ上の curl/wget | bash のブロック、/tmp 等からの直接実行をAppArmor/SELinuxで制限。
5) ハードニング:systemdの新規ユニット作成を監査、不要なコンパイラ/シェルの削除、実行権限の最小化。
6) インシデント対応:IOC(ファイル名:sex.sh, d5.sh, fn22.sh, wocaosinm.sh/疑似名:ksoftirqd/C2:185.247.224.41:8443)で全域スキャン、認証情報ローテーション、イメージ再展開。
7) 監視強化:大量POST/不審UA/異常レスポンスコードを伴うRSCリクエストの急増監視、CPU/電力/クラウド課金の異常検知。
📌 SOC視点
・Web/リバースプロキシ:RSC/Next.js関連パスへの連続POST、同一IP/ASNからの広範プローブ、公開GitHub生URL(raw.githubusercontent.com)経由のELF/アーカイブ取得。
・プロセス生成:curl/wget→bash/shパイプ、chmod +x → 実行、touchでのmtime改変、history -c 等履歴削除。
・永続化:/etc/systemd/system/ 配下の新規*.service(説明やExecStartが不自然)、ユーザ空間のksoftirqd名プロセス。
・ネットワーク:185.247.224.41:8443 へのTLS外向き、FRP特有の長時間持続接続、SOCKS5起動による127.0.0.1:1080等のローカルリスン。
・EDR/ログ相関:新規バイナリの実行チェーン(sh→curl→bash→unknown ELF)、同一ハッシュの横展開、同時多発の失敗実行(Windows上でLinux ELF投下)。
📈 MITRE ATT&CK
・Initial Access: T1190 公開アプリケーションの脆弱性悪用(RSC RCE/未認証)
・Execution: T1059.004 Unixシェル(/bin/bash実行), T1059.003 Windowsコマンドシェル(Windows上での試行)
・Persistence: T1543.002 Systemdサービス作成(PeerBlightの永続化)
・Defense Evasion: T1036 マスカレード(ksoftirqd名偽装), T1070.003 コマンド履歴削除, T1070.006 タイムスタンプ改変
・Discovery: T1082 システム情報探索, T1083 ファイル/ディレクトリ探索(初期ディスカバリ)
・Command & Control: T1105 Ingress Tool Transfer(追加ペイロード取得), T1090 プロキシ(CowTunnel/FRP, SOCKS5), T1568.002 DGA(PeerBlight), T1572 プロトコル・トンネリング(FRP)
・Exfiltration: T1041 C2チャネル上の流出(ZinFoqの収集・送信機能)
・Impact: T1496 リソース搾取(XMRig), T1498 ネットワークDoS(Kaiji系能力)
根拠:Huntressの観測に基づく具体的なペイロード、C2手法、永続化/回避挙動の記述に一致。
🏢 組織規模別助言
・小規模(〜50名):マネージドWAF/EDRを短期契約で即時導入。RSC/Next.js公開面を一旦停止し、ベンダ更新後に段階的再公開。クラウド請求アラートでマイニング検知。
・中規模(50〜500名):SCA/CIの必須化、eBPF/EDRでのプロセス監視、Egress制御とDNSセキュリティ(DGA検知)。週次で脆弱性走査、CAT1相当のパッチSLAを設定。
・大規模(500名以上):WAFの仮想パッチ+RASP併用、ゼロトラスト・セグメント化、SOARでIOCハントの自動化。レッドチームでFRP/リバプロ回避の模擬攻撃を演習。
🔎 類似事例
・CVE-2021-44228(Log4Shell):未認証RCEの大規模悪用とマイニング拡散
・CVE-2022-22965(Spring4Shell):JavaスタックでのRCE連鎖
・CVE-2022-26134(Confluence OGNL RCE):公開システムへのスキャン→自動展開
・Kaiji系DDoS, Sliver C2:本件で観測されたツール/マルウェア系統の参考
🧭 次の一手
1) 直ちに依存パッケージ(react-server-dom-* / Next.js)を最新へ更新し、公開面を再スキャン。
2) 本件IOCで全資産をハンティングし、痕跡あれば封じ込め→根絶→復旧の手順を実施。
3) 続けて「RSC/Next.js緊急パッチ適用ガイド」と「Linuxサーバ向けマイニング検知・根絶プレイブック」を参照し、恒久対策(Egress/DNS制御、CI/CDゲート、ロギング強化)を実装してください。
