شهدت برمجيات “React Server Components” استغلالاً سريعاً من قبل مهاجمين متنوعين بعد وقت قصير من إعلان شركة ميتا وفريق React عن ثغرة أمنية حرجة أطلق عليها اسم React2Shell. تم تسجيل الثغرة برقم CVE-2025-55182، وأضيفت إلى قائمة الثغرات المستغلة المعروفة.
تأتي هذه التطورات في ظل استجابة سريعة من شركات الأمن السيبراني لرصد محاولات استغلال للثغرة، والتي تسمح بتنفيذ تعليمات برمجية عن بعد دون الحاجة لمصادقة، وبدرجة خطورة قصوى (CVSS 10). وقد أثار هذا الحادث جدلاً بين خبراء الأمن حول مدى خطورة التهديد ومدى الحاجة الملحة للاستجابة.
تزايد الاستغلال النشط لثغرة React2Shell
أكدت العديد من الشركات المتخصصة في الأمن السيبراني، مثل Unit 42 التابعة لشركة Palo Alto Networks، وwatchTowr، وWiz، رصدها لعمليات استغلال ناجحة للثغرة. وتحدثت تقارير عن تأثر أكثر من 30 منظمة في قطاعات مختلفة حتى مساء يوم الجمعة.
تحليلات وتفاصيل حول التهديدات
أنشطة مشبوهة وتكتيكات المهاجمين
وفقاً لـ Justin Moore، مدير الأبحاث في Unit 42، فإن النشاط المرصود يتوافق مع مجموعة CL-STA-1015، والتي يُشتبه في ارتباطها بوزارة أمن الدولة الصينية. تم رصد استخدام برمجيات خبيثة مثل Snowlight وVshell، بما يدعم هذه التقييمات.
إضافة إلى ذلك، أشارت Unit 42 إلى رصد عمليات مسح للبحث عن نقاط ضعف تسمح بتنفيذ التعليمات البرمجية عن بعد، وأنشطة استطلاع، ومحاولات سرقة ملفات إعدادات وبيانات اعتماد خاصة بخدمات Amazon Web Services. كما تم اكتشاف محاولات لتثبيت برمجيات تنزيل ستقوم بسحب حمولات من البنية التحتية التي يتحكم بها المهاجمون.
انتشار وتنوع الهجمات
وصف Ben Harris، الرئيس التنفيذي لشركة watchTowr، نشاط الاستغلال بأنه “عشوائي وسريع وواسع النطاق”. وأضاف أن ما بعد الاستغلال شمل استخراج بيانات الاعتماد ونشر “webshells” كنقاط انطلاق لأنشطة أخرى.
من جانبه، أوضح Amitai Cohen من شركة Wiz أن بيئات عملاء الشركة قد تأثرت بعمليات استغلال ناجحة، حيث تم رصد نشر برمجيات تعدين العملات المشفرة ومحاولات سرقة بيانات اعتماد سحابية. هذه الأنشطة المبكرة تتوافق مع أهداف ما بعد الاستغلال الشائعة مثل اختطاف الموارد وتثبيت وصول إضافي.
نطاق التأثير ومخاوف مستقبلية
التقديرات حول الانتشار
بحسب Wiz Research، تحتوي 39% من البيئات السحابية على تطبيقات تستخدم React أو Next.js، وهي مكتبة تعتمد على React Server Components. وهذا يعني أن نسبة كبيرة من هذه التطبيقات قد تكون عرضة للثغرة.
من جهة أخرى، تتواجد إطارات عمل Next.js في 69% من البيئات، وتوجد نسخ متاحة للعامة من Next.js في 44% من البيئات السحابية، بغض النظر عن إصداراتها. مما يزيد من مدى انتشار الثغرة المحتمل.
تداعيات التشفير والنقاش حول الاستجابة
يثير هذا الاكتشاف قلقاً متزايداً لدى خبراء الأمن السيبراني بشأن التأثيرات اللاحقة. في المقابل، يدعو البعض إلى تبني نهج أكثر توازناً في الاستجابة.
كما تفاقمت الأمور مع إعلان شركة Vercel، المسؤولة عن Next.js، عن ثغرة أمنية خاصة بها، والتي تبين أنها متطابقة مع ثغرة React الأصلية.
مستقبل التهديدات والجهود المبذولة
تنبؤات حول هجمات برامج الفدية
يشير الخبراء إلى أن انتشار أدوات إثبات المفهوم (PoCs) للثغرة سيسرّع من وتيرة الاستغلال. ويتوقعون أن تتبع مجموعات برامج الفدية هذه الثغرة، نظراً لفرصة تحقيق مكاسب مالية.
وقد لوحظ بالفعل نشاط استغلال من قبل مجموعات تهديد مرتبطة بدولة الصين، بما في ذلك فرق مثل Earth Lamia وJackpot Panda، حسبما أكدت فرق استخبارات أمازون.
الاستجابة والتحديات
رصدت Unit 42 أيضاً محاولات استغلال من قبل جهات مرتبطة بالصين ومجرمي إنترنت. وأشارت GreyNoise Intelligence إلى أن الهجمات العشوائية التي تستغل الثغرة أصبحت واسعة الانتشار، مع وجود حركة مرور خبيثة من بنية تحتية في دول مختلفة تستهدف خدمات منتشرة عالمياً.
من جانبها، واجهت Cloudflare انقطاعاً مؤقتاً للخدمة بسبب التغييرات التي أجرتها للتخفيف من آثار الثغرة. وبينما يتواصل النقاش بين الباحثين حول الاستغلال الفعلي للثغرة، تظل الثغرة الأمنية في React، والتي تعد من أكثر أطر تطوير التطبيقات استخداماً، محط اهتمام كبير.