تُصدر وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيرات عاجلة لوكالاتها الفيدرالية لتصحيح الثغرة الأمنية الخطيرة React2Shell، وذلك في ظل تقارير حول استغلال واسع النطاق لها.
تم تحديد هذه الثغرة الحادة، المعروفة بالرمز CVE-2025-55182، بأنها تؤثر على بروتوكول React Server Components (RSC) Flight، وتنتج عن عملية إلغاء تسلسل غير آمنة تسمح للمهاجمين بحقن تعليمات برمجية خبيثة يتم تنفيذها على الخادم بصلاحيات ممنوحة.
تزايد المخاوف بشأن ثغرة React2Shell
تُعد هذه الثغرة خطيرة للغاية، حيث يمكن لمطلب HTTP واحد مصمم خصيصًا أن يكون كافيًا لاستغلالها، دون الحاجة إلى أي مصادقة أو تفاعل من المستخدم أو صلاحيات مرتفعة. وبمجرد نجاح الهجوم، يصبح بإمكان المهاجم تنفيذ أي تعليمات JavaScript على الخادم المتأثر.
منذ الكشف العلني عنها، تم استغلال هذه الثغرة من قبل جهات فاعلة متعددة في حملات مختلفة، بهدف إجراء عمليات استطلاع وتقديم مجموعة واسعة من البرمجيات الخبيثة.
دفعت هذه التطورات وكالة CISA إلى إضافتها إلى قائمة الثغرات الأمنية المستغلة المعروفة، مما يلزم الوكالات الفيدرالية بتطبيق الإصلاحات اللازمة. ورغم أن الموعد النهائي الأولي كان مختلفًا، إلا أنه تم تعديله ليشير إلى مدى خطورة الوضع.
تأثير الثغرة على الأنظمة
أشارت تقارير من شركات الأمن السيبراني إلى ملاحظة موجة سريعة من الاستغلال العرضي لهذه الثغرة، مع استهداف غالبية الهجمات لتطبيقات Next.js المكشوفة على الإنترنت، بالإضافة إلى أعباء العمل الأخرى المستضافة في حاويات تعمل على منصات مثل Kubernetes والخدمات السحابية المدارة.
تعمل الجهات الفاعلة في مجال التهديدات على البحث عن الأنظمة المتأثرة التي تشغل تطبيقات React وNext.js باستخدام أدوات المسح على مستوى الإنترنت ومنصات اكتشاف الأصول. ومن الملاحظ أن بعض عمليات الاستطلاع استثنت مساحات عناوين IP الصينية.
تركز عمليات المسح ذات الكثافة العالية بشكل خاص على شبكات في تايوان، وشينجيانغ الأويغور، وفيتنام، واليابان، ونيوزيلندا، وهي مناطق غالبًا ما ترتبط بأولويات جمع المعلومات الاستخباراتية الجيوسياسية.
كما تم استهداف، وإن كان بشكل انتقائي أكثر، مواقع حكومية (.gov)، ومؤسسات بحثية أكاديمية، ومشغلي البنية التحتية الحيوية. وشمل ذلك سلطة وطنية مسؤولة عن استيراد وتصدير اليورانيوم والمعادن النادرة والوقود النووي.
جهات التهديد وأساليب الاستغلال
من بين النتائج الملحوظة الأخرى، يعطي المهاجمون الأولوية للأهداف التكنولوجية عالية الحساسية مثل مديري كلمات مرور المؤسسات وخدمات الخزنة الآمنة، بهدف تنفيذ هجمات سلسلة التوريد. كما يستهدفون أجهزة VPN التي تدعم SSL والتي قد تتضمن واجهات إدارية تعتمد على مكونات React.
بدأت محاولات المسح والاستغلال المبكرة من عناوين IP سبق ارتباطها بمجموعات تهديد مرتبطة بآسيا.
من جانبها، سجلت شركة كاسبيرسكي أكثر من 35 ألف محاولة استغلال في يوم واحد، حيث بدأ المهاجمون بفحص النظام عبر تنفيذ أوامر مثل ‘whoami’، قبل نشر برمجيات تعدين العملات المشفرة أو عائلات برمجيات التجسس مثل Mirai/Gafgyt وRondoDox.
اكتشف الباحث الأمني راكيش كريشان أيضًا دليلاً مفتوحًا يحتوي على نص برمجية إثبات المفهوم (PoC) للثغرة الأمنية، بالإضافة إلى قائمتين للمجالات وعناوين URL المستهدفة، والتي تشمل شركات معروفة مثل Dia Browser، وStarbucks، وPorsche، وLululemon.
يُقدر أن جهة التهديد غير المحددة تقوم بمسح الإنترنت بشكل نشط بناءً على الأهداف المضافة إلى القائمة الثانية، مما يؤدي إلى إصابة مئات الصفحات.
وفقًا لأحدث البيانات، يوجد أكثر من 137,200 عنوان IP مكشوف على الإنترنت يشغل رمزًا عرضة للثغرة، حيث تحتل الولايات المتحدة المرتبة الأولى بأكثر من 88,900 نسخة، تليها ألمانيا وفرنسا والهند.