深刻なReact2Shell脆弱性（CVE-2025-55182）を悪用したNGINXサーバー経由のWebトラフィック乗っ取り攻撃

攻撃者がReact2Shellを悪用しNGINXサーバー経由でWebトラフィックを乗っ取る

Datadog Security Labsのサイバーセキュリティ研究者は、NGINXのインストール環境やバオタ（BT）などの管理パネルを標的とした攻撃キャンペーンを発見した。この攻撃では、攻撃者がReact2Shell（CVE-2025-55182）というCVSSスコア10.0の重大な脆弱性を悪用し、サーバーを侵害してトラフィックを攻撃者が制御するインフラへリダイレクトしている。

技術的詳細

この攻撃は、CVE-2025-55182というReact2Shellのリモートコード実行（RCE）脆弱性を悪用している。React2Shellは、特定のNGINX設定で使用されるコンポーネントだ。この脆弱性が悪用されると、攻撃者はNGINXサーバーへの不正アクセスを獲得し、以下の行為が可能となる。

• サーバー設定の改ざん：トラフィックを悪意のあるエンドポイントへリダイレクトするように設定を変更。
• 悪意のあるスクリプトの注入：Webレスポンスに不正スクリプトを挿入し、フィッシングやマルウェア配布などのさらなる攻撃を仕掛ける。
• 管理パネルの侵害：Webホスティングコントロールパネルとして人気の**バオタ（BT）**などを侵害し、持続的なアクセスを維持。

Datadog Security Labsの観測によると、攻撃者は脆弱なNGINXインスタンスを積極的にスキャンしており、影響を受けるシステムのパッチ適用が急務であることが強調されている。

影響分析

CVE-2025-55182の悪用は、組織に対して以下のような深刻なリスクをもたらす。

• トラフィックの乗っ取り：攻撃者がWebトラフィックを傍受、改ざん、またはリダイレクトし、データの持ち出しや中間者攻撃（MITM）を引き起こす可能性。
• 評判の損失：侵害されたサーバーが知らぬ間に悪意のあるコンテンツを配信し、ユーザーの信頼を失墜させる。
• 法的リスク：不正なデータアクセスや漏洩により、GDPRやCCPAなどの法規制に違反し、コンプライアンス違反となる恐れ。

推奨対策

セキュリティチームは、以下の対策を講じることでリスクを軽減することが推奨される。

1. 即時パッチ適用：NGINXと関連コンポーネントを最新バージョンに更新し、CVE-2025-55182の脆弱性を塞ぐ。
2. サーバー設定の監査：NGINXやバオタ（BT）パネルの設定を確認し、特にトラフィックルーティングルールにおける不正な変更がないか精査する。
3. 不審な活動の監視：ネットワーク監視ツールを導入し、異常なトラフィックパターンや不正アクセスの試みを検出する。
4. 侵害されたシステムの隔離：攻撃が検出された場合、ネットワーク内での横移動を防ぐため、影響を受けたサーバーを隔離する。
5. 関係者への教育：ITおよびセキュリティチームに対し、この脅威について周知し、インシデント発生時の対応準備を整える。

Datadog Security Labsは引き続きこのキャンペーンを追跡し、新たな情報が得られ次第、更新を行う予定だ。組織はこの重大な脅威からインフラを守るため、迅速な対応を優先することが求められる。