Critical Vulnerability in React Server (CVE-2025-55182) #2

過去記事「Critical Vulnerability in React Server (CVE-2025-55182)」(12/08)の追加記事として、事例紹介他　↓

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (12/09) 

『CVE-2025-55182 Meta React Server Components Remote Code Execution Vulnerability』

Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 #CVE-2025-55182 - Qiita (12/10)

『

• CVE-2025-55182公開から2日後に攻撃を受けた
• Next.js 15.x / 16.x のServer Actions脆弱性でRCE（リモートコード実行）された
• 暗号通貨マイナー（Monero）と複数のバックドアを仕込まれた
• サーバー内部の認証情報が漏洩した可能性がある

タイムライン

12/01 00:10  偵察攻撃開始（.git/config, .envスキャン）
12/01 04:14  .envファイル列挙攻撃（2,210リクエスト/2秒）
12/03       CVE-2025-55182 公開
12/03-05    CVE-2025-55182を利用した攻撃成功（推定）
12/05 15:17 マルウェア#1 ダウンロード
12/05 19:39 マルウェア#2 ダウンロード
12/10 09:37 システム再起動後、バックドアが自動起動
12/10 10:22 Moneroマイナー起動（CPU使用率281%）
12/10 11:27 発見

』

"対策"も紹介されていて、参考になる。

フォーマットインストールまでは行っていない。