CVE-2025-55182 악용 시도에 대한 증거

Source: Dev.to

타임라인

• 2025년 12월 3일: CVE‑2025‑55182 공개 (CVSS 10.0, React Server Components의 RCE)
• 2025년 12월 3일 ~19:33 UTC: 첫 번째 익스플로잇 시도가 내 서버에 도달 – 공개 후 12시간도 채 안 되어 활발한 스캔이 시작됨.

내 애플리케이션은 SEO가 전혀 없고 트래픽도 거의 없으므로, 내가 공격을 받았다면 더 큰 플랫폼들도 동일하게 공격당했을 가능성이 높다.

관찰 내용

로그에서 세 명의 서로 다른 공격자를 확인했으며, IP와 기법이 각각 달랐다:

공격자 1 (2025‑12‑03 ~19:33 UTC) – 연속적인 탐색 + 익스플로잇 시도

• 몇 초 안에 /login에 90회 이상 GET 요청
• 실제 익스플로잇 페이로드를 담은 POST 요청으로 전환
• User‑Agent 비어 있음
• 출처: 동남아시아

공격자 2? (2025‑12‑04 ~06:37 UTC) – 정찰 (가능성)

• /config.json, /robots.txt, /sitemap.xml, /.env, /.git/config 탐색
• 위조된 브라우저 User‑Agent 사용
• 출처: 미국 서부

공격자 3 (2025‑12‑04 ~07:26 UTC) – CVE‑2025‑55182 익스플로잇 시도

• /login 및 /formaction을 목표로 함
• User‑Agent: CVE-2025-55182-Exploit/12.0
• 헤더 Next-Action: true (Server Actions 대상)
• 출처: 동남아시아
• 약 1000바이트 크기의 페이로드를 담은 다수의 POST 요청

내 분석

모든 요청은 404, 500, 혹은 307을 반환했으며, 코드가 실행된 경우는 없었다.

• 307 (Redirect): 미지의 경로에 대한 요청을 미들웨어가 가로채어 리다이렉트했으며, 이 때문에 페이로드가 취약한 RSC 역직렬화 레이어에 도달하지 못했다.
• 404 (Not Found): 목표로 한 라우트(/login, /formaction)가 애플리케이션에 존재하지 않았다.
• 500 (Server Error): “Connection closed” 오류와 함께 요청이 중단되었다.

중요: 당시 Cloudflare는 어떠한 차단도 하지 않았고 트래픽을 그대로 전달했다. 오직 내 자체 미들웨어만이 방어 역할을 했으며, 이는 순전히 운에 의존한 결과였다.

마무리

Snyk advisory에서는 “공개적으로 확인된 실전 악용 사례는 아직 없다”고 명시하고 있다. 이 글이 바로 그 확인 사례가 된다.

작은 규모의 알려지지 않은 앱이 공개 직후 몇 시간 안에 스프레이 공격을 받았다면, 실제 운영 중인 앱들도 지금 스캔되고 있을 가능성이 크다. 즉시 패치하십시오!