كشفت مايكروسوفت عن حزمة تخفيف شاملة للثغرة الأمنية الخطيرة التي أُطلق عليها اسم “React2Shell” (CVE-2025-55182)، والتي تشكل مخاطر جسيمة على بيئات React Server Components و Next.js. تتيح هذه الثغرة، التي تحمل درجة CVSS قصوى تبلغ 10.0، للمهاجمين تنفيذ تعليمات برمجية عن بعد، مما يسمح لهم باختراق الخوادم عبر طلب HTTP واحد. وقد تم رصد محاولات الاستغلال لأول مرة في 5 ديسمبر 2025، مستهدفة أنظمة ويندوز ولينكس بنجاح مقلق.
تنبثق الثغرة من الطريقة التي يعالج بها نظام React Server Components البيانات باستخدام بروتوكول Flight. عندما يطلب العميل بيانات، يقوم الخادم بتحليل الحمولة الواردة لتنفيذ منطق من جانب الخادم. ومع ذلك، فإن عدم التحقق بشكل صحيح من صحة هذه المدخلات يسمح للمهاجمين بحقن هياكل خبيثة يعالجها الخادم على أنها صالحة. يؤدي هذا الإغفال إلى تلوث النموذج الأولي (prototype pollution)، مما يسمح للمهاجم في النهاية بتنفيذ تعليمات برمجية عشوائية على الخادم الأساسي.
آلية الإصابة وتحقيق الاستمرارية في React2Shell
بعد تحقيق الوصول الأولي، يتحرك المهاجمون بسرعة لترسيخ وجودهم وتوسيع نطاق سيطرتهم على الشبكة المخترقة. غالباً ما تتضمن سلسلة الهجمات نشر قذائف عكسية (reverse shells) تتصل بالخوادم التي يتحكم فيها المهاجمون، مما يسمح بالوصول عن بعد المستمر. إن هذا التكوين الافتراضي الذي يثق بالمدخلات يجعل الثغرة خطيرة بشكل خاص.
توضح الرسوم البيانية للهجوم، التي تصور الأنشطة التي تؤدي إلى اتخاذ إجراءات ضد الأهداف، التدفق النموذجي لهذه الاختراقات. يستخدم المهاجمون بشكل متكرر أدوات المراقبة والإدارة عن بعد، أو يعدلون ملفات النظام للحفاظ على الوصول حتى بعد إعادة التشغيل. وللتملص من الكشف، قد يستخدمون تركيبات الارتباط (bind mounts) لإخفاء العمليات الخبيثة عن أدوات مراقبة النظام.
تكشف التحليلات الإضافية عن مجموعة متنوعة من الحمولات الضارة، بما في ذلك برامج التروجان للوصول عن بعد، بالإضافة إلى برامج تعدين العملات المشفرة. أبرز هذا المثال، وهو قشرة عكسية لوحظت في إحدى الحملات، بنية الأوامر المستخدمة خلال هذه الاختراقات. إلى جانب التحكم الفوري، يقوم المهاجمون بتعداد تفاصيل النظام ومتغيرات البيئة بنشاط لسرقة رموز هوية السحابة لمنصات Azure و AWS و Google Cloud Platform.
تسهل سرقة بيانات الاعتماد هذه الحركة الجانبية عبر موارد السحابة، مما يضخم بشكل كبير من تأثير الاختراق على المنظمات التي تعتمد على هذه الخدمات المتكاملة. ويهم مايكروسوفت بتوفير أفضل الممارسات وتحديثات الأمان للحماية من ثغرات مثل React2Shell.