تتزايد المخاوف بشأن التداعيات المستمرة لثغرة React2Shell، التي تؤثر على أجزاء واسعة من البنية التحتية الرقمية للإنترنت، مع انتشار الاستغلالات العامة والأبواب الخلفية الخفية وظهور تفاصيل مقلقة حول الأهداف التي يسعى المهاجمون للوصول إليها.
يشهد باحثو التهديدات وفرق الاستجابة للحوادث تطورات متسارعة بشأن React2Shell، مما يثير قلقًا متزايدًا. تستغل الجماعات الإجرامية، وعصابات برامج الفدية، والجهات الفاعلة المدعومة من دول للثغرة الأمنية بالغة الخطورة.
تزايد الهجمات واستغلال ثغرة React2Shell
أكدت شركة Palo Alto Networks أن عدد المنظمات المتضررة من الهجمات التي استغلت الثغرة الأمنية، المعروفة برقم CVE-2025-55182، بلغ أكثر من 60 منظمة. تم الكشف عن هذه الثغرة علنًا بواسطة Meta وفريق React في 3 ديسمبر.
أعلنت Microsoft أنها اكتشفت “عدة مئات من الأجهزة عبر مجموعة متنوعة من المؤسسات” تم اختراقها عبر استغلال هذه الثغرة، مما أدى إلى تنفيذ تعليمات برمجية عن بعد. ووفقًا لمدونة بحثية نشرتها Microsoft، فإن الأنشطة اللاحقة لهذه الاختراقات تضمنت زرع برامج للوصول عن بعد، وحركة جانبية داخل الشبكات، وسرقة بيانات، وخطوات سمحت للمهاجمين بالحفاظ على الوصول إلى الشبكات المستهدفة.
يتضخم النطاق الكامل لاهتمام المهاجمين بهذه الثغرة بسبب العدد الكبير غير المسبوق من أدوات الاستغلال المتاحة للجمهور. هذا يؤكد السهولة النسبية والطرق المتعددة التي يمكن للمهاجمين غير المصرح لهم من خلالها تفعيل الخلل لرفع الامتيازات والتسلل إلى أجزاء أخرى من الشبكات المستهدفة.
أكدت VulnCheck وجود حوالي 180 أداة استغلال عامة صالحة لـ React2Shell حتى يوم الاثنين، مع عشرات الأدوات الأخرى لا تزال قيد المراجعة. وقالت كايتلين كوندون، نائب رئيس الأبحاث في VulnCheck، إن CVE-2025-55182 حاليًا تمتلك أعلى عدد استغلالات عامة موثقة لأي CVE.
أدت جهود التنظيف المستمرة لـ React2Shell أيضًا إلى اكتشاف ثلاث ثغرات جديدة تؤثر على مكونات React Server الأسبوع الماضي، بما في ذلك CVE-2025-55183 و CVE-2025-67779، والتي تعالج تجاوزًا واضحًا للثغرة CVE-2025-55184. وأضافت كوندون أن “السيناريو الأسوأ الذي يدور في أذهان العديد من المدافعين حاليًا هو ظهور تجاوز حقيقي للتصحيح الخاص بـ CVE-2025-55182، ولكن حتى الآن لم يحدث ذلك.”
يواصل الباحثون حث المنظمات على تطبيق التصحيح الخاص بـ CVE-2025-55182، لكنهم يشيرون إلى أن الثغرات الإضافية لم يتم معالجتها في بعض الإصدارات المبكرة من التصحيح. وبالطبع، فإن تطبيق التصحيح لن يمنع المهاجمين الذين نجحوا بالفعل في الوصول إلى الأنظمة.
تنوع الجهات المهاجمة والأهداف
تستمر الهجمات ذات الدوافع والأصول المختلفة في الانتشار عالميًا.
ذكرت Google Threat Intelligence أنها رصدت مهاجمين مدفوعين ماليًا وخمس مجموعات تجسس صينية على الأقل تستغل الخلل عبر مناطق وصناعات متعددة. كما حددت Google Threat Intelligence هجمات تُنسب إلى إيران، لكنها لم تقدم مزيدًا من التفاصيل.
سبق لـ Amazon أن أعلنت أن فرق الاستخبارات لديها رصدت محاولات استغلال نشطة من قبل مجموعتي Earth Lamia و Jackpot Panda في غضون ساعات من الكشف العلني عن الثغرة.
أكدت شركة الأمن السيبراني S-RM أنها استجابت لهجوم برامج فدية في 5 ديسمبر شمل استغلال React2Shell كمتجه وصول أولي. ونفذ المهاجمون برنامج الفدية Weaxor في غضون دقيقة من الوصول إلى شبكة الضحية، وفقًا لما ذكرته الشركة في منشور مدونة.
تظهر الأدلة على زيادة النشاط الضار، بما في ذلك محاولات الاستغلال، عبر مشهد استخبارات التهديدات.
قالت Cloudflare إن العديد من مجموعات التهديدات التي تتخذ من آسيا مقرًا لها قد كانت دقيقة في استهداف الشبكات في تايوان، ومنطقة شينجيانغ الويغورية ذاتية الحكم، وفيتنام، واليابان، ونيوزيلندا. ومع ذلك، تم رصد أهداف انتقائية أخرى، بما في ذلك مواقع حكومية أمريكية، ومؤسسات بحثية أكاديمية، ومشغلي البنية التحتية الحيوية.
وأشار فريق استخبارات التهديدات في Cloudflare في منشور مدونة إلى أن “مشغلي البنية التحتية هؤلاء شملوا تحديدًا سلطة وطنية مسؤولة عن استيراد وتصدير اليورانيوم والمعادن النادرة والوقود النووي.”
تم استهداف العديد من الوكالات الحكومية على مستوى الولاية والفدرالية في الولايات المتحدة، لكن لم يتم تأكيد عمليات استغلال. وصرح بلايك دارتشيه، رئيس استخبارات التهديدات في Cloudflare، بذلك. رفضت وكالة الأمن السيبراني وأمن البنية التحتية التعليق على محاولات الهجوم على الوكالات الحكومية.
وأضاف دارتشيه أن “ضحايا الهجمات أصبحوا عالميين، حيث تشكل البنية التحتية الحيوية جزءًا صغيرًا فقط من جميع المنظمات والصناعات المستهدفة.”
على الرغم من أن عمليات الاختراق الناجحة تقع خارج نطاق رؤية GreyNoise، إلا أن النشاط الضار الذي ترصده مستشعراتها مستمر في الظهور، وفقًا لأندرو موريس، المؤسس والمهندس المعماري الرئيسي للشركة. وكتب في منشور على LinkedIn يوم الثلاثاء أن “الاستغلال لا يزال مرتفعًا للغاية، حيث يصل عدد الشبكات التي تستغل هذه الثغرة إلى مستويات قياسية تقريبًا كل يوم منذ الكشف عنها.”
توقعات طويلة الأمد لثغرة React2Shell
أثارت ثغرة React2Shell قلقًا واسع النطاق في الأسبوعين منذ الكشف الأول عن الثغرة الأمنية في إطار العمل المستخدم على نطاق واسع. ويتوقع الباحثون أن يكون لهذه الثغرة آثار طويلة الأمد.
قال أوستن لارسون، محلل رئيسي في Google Threat Intelligence، إن هذه الثغرة الخطيرة من المرجح أن تكون واحدة من أكثر الثغرات الهامة التي شهدتها الشركة قيد الاستغلال النشط هذا العام.
انتهى النقاش الذي دار في بعض الأوساط الصناعية في البداية حول خطورة الثغرة وتأثيرها المحتمل.
قال دان بيريز، رئيس قسم التكنولوجيا في Google Threat Intelligence: “تتقلص أطر الاستغلال من أسابيع إلى ساعات. كل ثغرة جديدة تمثل سباقًا ضد الزمن. كل دقيقة تبقى فيها الأنظمة غير مصححة هي دقيقة يمكن للمهاجمين استغلالها لصالحهم، مما يمنح المنظمات هامش خطأ ضئيل للغاية.”