PR

React2Shell脆弱性が積極的悪用、Linuxバックドア拡散

Security

Source:https://thehackernews.com/2025/12/react2shell-vulnerability-actively.html

🛡 概要

React2Shellとして追跡される重大なリモートコード実行脆弱性(CVE-2025-55182、CVSS 10.0)が、複数の脅威アクターにより積極的に悪用されています。侵入後のペイロードにはLinuxバックドアのKSwapDoorやZnDoorのほか、VShell、EtherRAT、SNOWLIGHT、ShadowPad、XMRigなどが確認されています。クラウド環境ではCloudflare Tunnel(*.trycloudflare.com)の悪用、IMDS(169.254.169.254)へのアクセスによるトークン窃取、RMMツール(MeshAgent)設置、authorized_keys改変やrootログイン有効化など、横展開と持続化を伴う一連の後続操作が観測されています。

🔍 技術詳細

Unit 42とNTT Securityの観測では、攻撃者は公開アプリに対してReact2Shellを突き、bashワンライナーでリモートホストからペイロードを取得・実行します。典型例としてwget/curl経由で45.76.155[.]14からバイナリ取得→chmod+実行という流れが確認されています。ZnDoorはC2と通信してコマンド実行・双方向シェル・ファイル探索/取得/削除・アップ/ダウンロード・タイムスタンプ改変・SOCKS5プロキシ開始・ポートフォワード開始/停止などをサポートします。KSwapDoorは高度な難読化と秘匿志向の設計が特徴で、内部メッシュ型通信で検知回避を図りつつ、Linuxカーネルのswap系デーモン名を装って潜伏する事例が報告されています(過去にBPFDoorと誤認されたケースあり)。

Google側の分析では中国関連の複数UNCクラスター(例:UNC6600/6586/6588/6603/6595)がReact2Shellを武器化し、MINOCAT、SNOWLIGHT、COMPOOD、HISONIC(設定取得にCloudflare PagesやGitLabを悪用)、ANGRYREBEL(Noodle RATのLinux版)などを投下。Microsoftの助言でも、侵入後にCobalt Strikeサーバーへのリバースシェル確立、MeshAgent投下、authorized_keys改変、rootログイン有効化など任意コマンド実行が確認されています。さらに、trycloudflareドメインを経由したトンネルで防御回避しつつ、環境偵察と横展開、認証情報窃取を実施。IMDS(Azure/AWS/GCP/Tencent)からのトークン取得を試み、TruffleHog/Gitleaks等でOpenAI APIキー、Databricksトークン、Kubernetes ServiceAccountトークン等の秘密情報を探索しています。

別系統のキャンペーン(Operation PCPcat)では、Next.jsの脆弱性(CVE-2025-29927、および後に重複として却下されたCVE-2025-66478=React2Shell同欠陥)悪用により、.env群、環境変数、SSH秘密鍵、クラウド/コンテナ関連資格情報、Git資格情報、Bash履歴、/etc/shadow・/etc/passwdなどの体系的な機密収集を実施。持続化の確立、SOCKS5プロキシ設置、67.217.57[.]240:888へのリバースシェル、さらなる拡散のためのReactスキャナ導入が観測されています。影響規模として、ShadowserverはReact2Shellに脆弱なIPを111,000超で追跡中(米国約77,800、独7,500、仏4,000、印2,300)。GreyNoiseは直近24時間で547の悪性IP(米/印/英/SG/NL)による悪用活動を確認しています。

⚠ 影響

  • 完全なリモートコード実行(CVSS 10.0):Web経由でサーバー乗っ取り、横展開、データ流出
  • クラウド横断の認証情報窃取:IMDSトークン悪用によるクラウド資源への権限昇格・持続化
  • ビジネス継続性リスク:SOCKS5/トンネリングによるC2維持、暗号通貨採掘(XMRig)や情報窃取の長期化
  • 検知回避:Cloudflare Tunnel、メッシュ通信、正規名の偽装(swap系デーモン)

🛠 対策

  • パッチ適用:CVE-2025-55182/29927/66478に対するベンダー修正の即時適用。適用不可時はWAFで仮想パッチ、該当エンドポイントを一時遮断
  • 最小権限と秘密管理:クラウドIAMの権限縮小、IMDS保護(AWSはIMDSv2必須化、GCP/AzureはIMDSアクセスの制御と監査)。漏えい懸念のあるキー/トークン即時ローテーション
  • 出口対策:*.trycloudflare.com など動的トンネルのドメイン/ASNを原則ブロックし、業務で必要な例外のみ許可。SOCKS/リバースシェル既知ポート(例:888/tcp)監視・遮断
  • 持続化の除去:authorized_keysの不正追記、systemd/cron/rcスクリプトの不審エントリ、未知のカーネル/デーモン風プロセス(swap名偽装)を監査・隔離
  • EDR/ログ強化:Linux EDRを導入し、bash経由のwget/curl実行、子プロセス生成、権限変更、未知のバイナリ実行を相関検知
  • シークレット衛生:TruffleHog/Gitleaks等の社内スキャンを定期実施し、環境変数・.env・VCS・CI/CDでの秘密露出を抑止

📌 SOC視点

  • Web/リバースプロキシ/WAFログ:脆弱エンドポイントへの異常POST/GET、User-Agentの不自然さ、単発での長いペイロード、外部IP 45.76.155[.]14 への誘導痕跡
  • ホスト監視:shell経由のwget/curl、chmod+実行、/tmpや/dev/shmへのドロップ、未知バイナリの永続化。swapやkworker等を装う不審プロセス
  • ネットワーク:*.trycloudflare.com への新規外向き接続、67.217.57[.]240:888 へのリバースシェル、Cobalt Strike C2既知IOC、SOCKS5確立の急増
  • クラウドテレメトリ:169.254.169.254 へのアクセス、az/azd/aws/gcloud CLIの不審使用、トークン/ロール切替の異常
  • ファイル改ざん:~/.ssh/authorized_keys の新規キー、/etc/passwd・/etc/shadowのアクセス、.envや秘密鍵への大量アクセス

📈 MITRE ATT&CK

  • Initial Access: T1190 Exploit Public-Facing Application(React2Shell/Next.js脆弱性の悪用)
  • Execution: T1059 Command and Scripting Interpreter(bashワンライナー、wget/curl実行)
  • Persistence/Privilege: T1098.004 Account Manipulation: SSH Authorized Keys(authorized_keys改変)、T1078 Valid Accounts(奪取資格の再利用)
  • Defense Evasion: T1090 Proxy(Cloudflare Tunnel/SOCKS5)、T1036 Masquerading(swapデーモン偽装)
  • Discovery: T1046 Network Service Discovery、T1083 File and Directory Discovery
  • Credential Access: T1552.001 Credentials in Files(.env/鍵/履歴)、T1552.004 Private Keys、T1552.005 Cloud Instance Metadata API(IMDSアクセス)
  • Lateral Movement: T1021.004 Remote Services: SSH(鍵設置後の横展開)
  • Command and Control: T1105 Ingress Tool Transfer(ペイロード取得)、T1572 Protocol Tunneling(Cloudflare/プロキシ経由C2)
  • Collection/Exfiltration: T1005 Data from Local System、T1567 Exfiltration to Cloud Storage(Webサービス経由の流出)

🏢 組織規模別助言

  • 〜50名:外部公開サーバのパッチを最優先。IMDS無効化/制限、*.trycloudflare.comをFWでブロック。Linux EDR or OSSEC/Auditdで最小限のプロセス・ネットワーク監視を即日導入
  • 50〜500名:WAFの仮想パッチ適用、CI/CDに秘密検出ゲートを追加、特権アクセスのJIT/JEA化。クラウドでIMDSv2必須化、eBPFベースEDRで長期潜伏検知を強化
  • 500名以上:攻撃面縮小プログラム(ASM)を回し、SBOM/VEXで依存関係を管理。Egressゼロトラスト(ドメイン/カテゴリ制御)とクラウド脅威検出(CSPM/CWPP)で横断監視。定期レッドチーム/紫チームでReact2Shellシナリオを演習

🔎 類似事例

  • CVE-2021-44228(Log4Shell):RCEを足掛かりにバックドア・コインマイナ展開
  • CVE-2022-22965(Spring4Shell):JavaスタックRCEの連鎖悪用
  • CVE-2023-22527(Confluence OGNL RCE):Web公開アプリからの横展開事例
  • BPFDoorキャンペーン:Linux上での秘匿型C2・フィルタ回避の好例(KSwapDoor誤認例あり)

🧭 次の一手

  1. 緊急パッチ適用とWAF仮想パッチの即時実施(CVE-2025-55182/29927/66478)
  2. IMDSアクセスの制限・監査と漏えい懸念クレデンシャルのローテーション
  3. *.trycloudflare.com等のトンネル遮断、IOC(45.76.155[.]14、67.217.57[.]240:888)で狩り
  4. authorized_keys・systemd/cronの完全監査、未知デーモン除去
  5. 参考コンテンツ:IMDSハードニング入門、Linux初動対応プレイブック、WAF仮想パッチ実装ガイド、クラウドEgress制御ベストプラクティス