大手サイバーセキュリティー企業Wallarm(ワラーム)は、React Server Components(RSC)のリモートコード実行(RCE)脆弱性の公表を受けて、攻撃環境が大きく変化したと報告した。同社は状況を綿密に監視しており、特に初期の概念実証(PoC)エクスプロイトの公開と検出手法の改善以降、攻撃活動が大幅に増加していることを確認している。
サイバーセキュリティー企業は、脆弱性が公表された直後にGitHub上で拡散した最初のPoCエクスプロイトは、CVE-2025-55182の脆弱性を悪用する実際のエクスプロイトではなかったと指摘した。これは、脆弱なサーバーを意図せずシミュレートした、不正確な調査の試みでした。にもかかわらず、WallarmはこのPoC形式を用いたエクスプロイトの試みが急増していることを確認した。これは、多くの攻撃者が、たとえPoCが不正確であったり過度に単純化されていたりしても、PoCとラベル付けされたものを再利用または自動化していることを示している。
12月4日、Assetnote Securityの研究者は脆弱性の詳細な技術的分析を公開し、脆弱なRSCおよびNext.jsデプロイメントを検出するためのPythonユーティリティを導入した。これにより、脆弱なパッケージとサーバー構成を特定する能力が大幅に向上した。しかし、これは攻撃活動の急増も引き起こし、Wallarmは最初の数時間で5,500件以上の新たなエクスプロイトの試みを記録した。これらの攻撃は多くの場合、スキャンツールの構造を直接反映しており、急速に拡大した。
当初のPoCは無効だったが、CVE-2025-55182の実際のRCEエクスプロイトチェーンは後に公開された。このエクスプロイトチェーンは、RSCアクションのデシリアライズプロセスにおける安全でないエクスポート解決を悪用するものだ。ペイロードは、React Server Componentsがメタデータフィールドをデシリアライズおよび解決する方法を悪用し、攻撃者がJavaScriptプロトタイプチェーンをトラバースして最終的にサーバー上で任意のコードを実行できるようにする。
エクスプロイト技術が成熟するにつれて、ペイロードは複数のチャネルを通じてコマンド結果を返すように進化した。これには、コマンド出力をシリアル化されたRSCダイジェストフィールドに直接埋め込む、Node内部を利用してデータの読み取りと送信を行う、RSCデシリアライゼーションの脆弱性を悪用してJavaScriptプロトタイプの動作を悪用し、メモリー内ウェブシェルを作成するといったものが含まれる。
Wallarmは、顧客環境全体におけるエクスプロイト活動の監視を継続している。無効なPoCトラフィック、スキャナー由来の攻撃、そして実際のRCEペイロードの大幅な増加を確認している。また、Wallarmは、攻撃者が既に回避戦略を試行していることを指摘し、単純なシグネチャーマッチングではなく、動作に基づく検知の必要性を改めて強調した。
攻撃活動の増加にもかかわらず、WallarmのWAAP(ウェブアプリケーションおよびAPI保護)は、あらゆる回避手法に対する耐性を備えていることが実証されている。スタンプベースの攻撃検出は、静的シグネチャマッチングを凌駕し、正規表現ベースのアプローチに伴うパフォーマンスの問題を回避する。これにより、大規模なペイロードや難読化されたペイロードを低レイテンシーで迅速に検査できる。また、Wallarmは全ての受信リクエストに対して詳細な再帰解析を実行し、構造やエンコーディングに関係なく、全てのコンポーネントを確実に分析する。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
