يبدأ المهاجمون باستغلال ثغرة أمنية حرجة تُعرف باسم React2Shell، وهي CVE-2025-55182، لاستهداف قطاعات التأمين والتجارة الإلكترونية وتكنولوجيا المعلومات. تسمح هذه الثغرة بتشغيل أكواد غير مصرح بها على الخوادم الضعيفة، مما يعد تهديداً متزايداً للبنية التحتية الرقمية.
تتعلق الثغرة ببروتوكول Flight، الذي ينظم الاتصال بين العميل والخادم لمكونات React Server. وقد أظهرت الحملات العدوانية سرعة ودقة ملحوظة في استغلال هذه الثغرات فور اكتشافها.
استغلال ثغرة React2Shell الأمنية
تكشف التقارير الأخيرة عن بدء الجهات الخبيثة في استغلال ثغرة React2Shell لمهاجمة الشركات في قطاعات حيوية مثل التأمين والتجارة الإلكترونية وتقنية المعلومات. تكمن خطورة الثغرة في قدرتها على تنفيذ تعليمات برمجية عشوائية على الخوادم المتضررة، مما يفتح الباب أمام اختراقات واسعة النطاق.
ويُعزى الخطر الأمني إلى آلية “إلغاء التسلسل غير الآمن” (insecure deserialization) في البروتوكول، حيث تقبل الخوادم البيانات من العملاء دون التحقق الكافي منها. وقد لوحظ أن الهجمات تستهدف في المقام الأول نشر برامج تعدين العملات المشفرة مثل XMRig، بالإضافة إلى شبكات الروبوتات (botnets) وأدوات الوصول عن بعد.
آلية الإصابة ونشر البرمجيات الخبيثة
تبدأ سلسلة الهجوم عندما يستغل المهاجمون ثغرة React2Shell لتنفيذ أوامر داخل الحاويات المخترقة. بعد الحصول على الوصول المبدئي، يقوم المهاجمون بتنزيل وتنفيذ سكريبتات Bash من خوادم بعيدة لنشر حمولات خبيثة.
على سبيل المثال، يقوم السكريبت wocaosinm.sh بتنزيل ملفات قابلة للتنفيذ خاصة بالهندسة تلقاها تعرف باسم Kaiji botnet، والتي تنفذ هجمات DDoS وتثبت وجودها عبر خدمات systemd ومهام crontab وتعديل أدوات النظام.
تشمل آلية نشر أخرى استخدام السكريبت setup2.sh، والذي يقوم بتثبيت XMRig الإصدار 6.24.0 عبر تنزيل أرشيف مضغوط يحتوي على تكوين المنجم والملف التنفيذي. بعد ذلك، يقوم السكريبت alive.sh بإنهاء أي عملية تستهلك 40% أو أكثر من وحدة المعالجة المركزية، باستثناء XMRig والعمليات الأخرى المسموح بها.
يستخدم المهاجمون أيضاً تقنيات مثل تسرب DNS (DNS tunneling) عبر أدوات مثل nslookup لاستخراج نتائج تنفيذ الأوامر، ويرسلون المعلومات إلى مجالات خارجية باستخدام استعلامات النطاقات الفرعية المشفرة.
تمثل حمولات إطار عمل CrossC2 الخاصة بـ Cobalt Strike متجهاً آخر للهجوم المتطور. تحتوي هذه الملفات التنفيذية المضغوطة بواسطة UPX على تكوينات مشفرة مدمجة في نهاية الملف، والتي يتم فك تشفيرها باستخدام خوارزمية AES-128-CBC.
يقوم السكريبت check.sh بحفظ هذه الحمولات باسم rsyslo وإنشاء خدمة systemd لضمان استمراريتها، مع إخفاء البرمجية الخبيثة كـ “Rsyslo AV Agent Service” لتجنب الاكتشاف.
تُظهر برمجية EtherRAT الخبيثة قدرات استمرار استثنائية عبر خمس طرق مختلفة: خدمات systemd، إدخالات XDG Autostart، مهام crontab، تعديلات .bashrc، وتعديلات .profile. تعتمد هذه البرمجية الخبيثة المستندة إلى JavaScript على استرداد عناوين خادم القيادة والتحكم من عقد ذكي على شبكة الإثيريوم، مما يجعل طرق الحظر التقليدية أقل فعالية.
تأثير الثغرة وتوصيات الحماية
تشمل الإصدارات المتأثرة من مكونات React Server Component حزم react-server-dom-webpack، و react-server-dom-parcel، و react-server-dom-turbopack في الإصدارات 19.0، و 19.1.0، و 19.1.1، و 19.2.0. وقد تم إصدار التصحيحات في الإصدارات 19.0.1، و 19.1.2، و 19.2.1.
أشار باحثو BI.ZONE إلى أن مجرد إصلاح الثغرة غير كافٍ. يجب على المؤسسات أيضاً تقييم أنظمتها بحثاً عن مؤشرات على الاستغلال الناجح والأنشطة اللاحقة للاستغلال، حيث غالباً ما تتضمن هذه الهجمات عمليات خبيثة متنوعة.
بالإضافة إلى التصحيح، يجب على المطورين التحقق من إصدارات Next.js والتبعيات الخاصة بهم، وإعادة بناء المشاريع بعد التحديثات، والتحقق من ملفات القفل لتأكيد إزالة الإصدارات الضعيفة من الحزم. يوصي الخبراء بتقييد استخدام ميزات React Server Components التجريبية في بيئات الإنتاج ما لم تكن مغطاة بالتصحيحات الأمنية الحالية.