تتزايد المخاوف الأمنية بشكل مطرد مع انتشار الأنشطة الخبيثة المرتبطة بثغرة React2Shell، التي تم الكشف عنها مؤخراً في مكونات React Server. ويشير الخبراء إلى اتساع نطاق المهاجمين الذين يسعون لاستغلال هذه الثغرة.
تستجيب السلطات أيضاً للقلق المتزايد بشأن هذا الخلل، حيث قامت وكالة الأمن السيبراني وأمن البنية التحتية بتضييق المهلة الممنوحة للجهات الحكومية لمعالجة الثغرة إلى يوم الجمعة. وكانت الوكالة قد حددت في السابق موعداً نهائياً في 26 ديسمبر عند إدراج الثغرة CVE-2025-55182 في قائمة الثغرات المستغلة المعروفة الأسبوع الماضي.
نطاق واسع لثغرة React2Shell يثير قلق الخبراء
أفادت شركة Palo Alto Networks Unit 42 بأن أكثر من 50 منظمة تأثرت بالهجمات التي تستغل هذه الثغرة، مع ملاحظة وجود ضحايا في الولايات المتحدة وآسيا وأمريكا الجنوبية والشرق الأوسط. وتتراوح أنواع المهاجمين بين قوى مدعومة من دول، ومجرمي الإنترنت، وروبوتات شبكية، ومجموعات تهديدات تسعى لسرقة العملات المشفرة ونشر برمجيات التعدين الخبيثة.
تؤكد فحوصات Shadowserver أن نطاق التأثير المحتمل أكبر بكثير مما كان يُعتقد سابقاً. وفحصت المنظمة أكثر من 165 ألف عنوان IP و 644 ألف نطاق تمتلك أكواداً عرضة للخطر، مما يجعلها عرضة للاستغلال. وتقع ما يقرب من ثلثي هذه الأنظمة المعرضة للخطر في الولايات المتحدة.
وصفت كيلي شورتدريدج، رئيسة قسم المنتجات في Fastly، الثغرة بأنها “نقرة واحدة… ونهاية اللعبة… فيما يتعلق بالاستغلال”. وأضافت أن المهاجمين يستهدفون أي منظمة تمتلك بيانات قيمة أو سجلات حساسة أو تطبيقات حيوية للأعمال يمكن سرقتها أو تعطيلها لأغراض الابتزاز.
ومع ذلك، يبدو أن فرق الأمن لا تأخذ هذه الثغرة على محمل الجد بشكل موحد، وهو أمر يثير الاستغراب حسب شورتدريدج.
استغلال واسع النطاق للثغرة
أشار ألون شيندييل، نائب الرئيس لأبحاث الذكاء الاصطناعي والتهديدات في Wiz، إلى أن نصف الموارد العامة المعرضة لـ CVE-2025-55182 لا تزال غير مصححة، وأن الاستغلال الفعلي للخغرة قد توسع بسرعة منذ بداية الأسبوع. وقد رصدت Wiz Research أكثر من 15 مجموعة اختراق مميزة حتى الآن.
وصف كريستيان بيك، المدير الأول لاستخبارات التهديدات والتحليلات في Rapid7، الوضع بأنه “وضع يتطلب التصحيح الفوري” نظراً للاستغلال المتزامن من مختلف الجهات الفاعلة في المشهد الأمني.
وتشير بيانات Rapid7 إلى زيادة هائلة في الهجمات، بدءاً من الاستغلالات الساذجة مثل نشر روبوتات Mirai وبرامج تعدين العملات، وصولاً إلى الجهات الفاعلة المدعومة من الدول التي تدمج هذه الثغرة ضمن أدواتها الهجومية. كما لوحظت مؤشرات تربط استغلال هذه الثغرة بأدوات استخدمتها سابقاً مجموعات برامج الفدية.
وكشف فريق Unit 42 عن نشاط يتداخل مع هجمات سابقة نسبت إلى مجموعة تهديدات كورية شمالية تُعرف باسم Contagious Interview، والتي قامت بنشر برمجيات خبيثة على أجهزة الأفراد الذين يبحثون عن وظائف في قطاع التكنولوجيا.
ووجد الباحثون أدلة على اختراق في العديد من القطاعات، بما في ذلك الخدمات المالية، وخدمات الأعمال، والتعليم العالي، والتكنولوجيا، والحكومة، والاستشارات الإدارية، والإعلام والترفيه، والخدمات القانونية، والاتصالات، وتجارة التجزئة.
وتأتي محاولات الهجوم أيضاً من مجموعات تهديدات مدعومة من الصين، بحسب أمازون و Unit 42. فقد لاحظت فرق استخبارات التهديدات في أمازون محاولات استغلال نشطة من قبل مجموعتي Earth Lamia و Jackpot Panda بعد ساعات قليلة من الكشف العام عن الثغرة.
تأثير واسع على أطر العمل
يسعى المهاجمون إلى تحقيق أكبر قدر ممكن من التأثير لأن الثغرة تؤثر على أطر عمل React ومجمعات التطوير المتعددة التي تعتمد على مكونات React Server، بما في ذلك Next.js، و React Router، و Waku، و Parcel RSC plugin، و Vite RSC plugin، و RedwoodJS، وربما غيرها.
وقد رصدت VulnCheck ما يقرب من 100 دليل إثبات مفهوم عام للثغرة، وأضافت أن معظم المتغيرات الحالية تستهدف Next.js.
وبالمثل، رصدت GreyNoise أكثر من 360 عنوان IP فريداً يحاول استغلال الثغرة، حيث احتوت حوالي خمسي هذه العناوين الخبيثة على بيانات حمولات نشطة، مما يكشف عن اهتمام واسع النطاق من روبوتات آلية إلى مهاجمين أكثر قدرة.
وتتنوع البرمجيات الخبيثة المستخدمة في هذه الهجمات، مما يعكس تنوع الأهداف والتقنيات. فقد رصد فريق Unit 42 برمجيات خبيثة مثل Snowlight، و Vshell، و NoodlerRat، و XMRIG، و BPFDoor، و Autocolor، و Mirai، و Supershell.
يقارن بعض الباحثين هذه الثغرة مع Log4Shell، وهي ثغرة في مكتبة برمجيات Apache Log4j أثارت قلقاً واسعاً في عام 2021 وما زالت آثارها المتبقية تؤثر على سلسلة توريد البرمجيات.
وبينما لا يتم نشر React و Next.js على نطاق واسع مثل Log4Shell، يرى الخبراء أن التأثير المحتمل لهذه الثغرة أشد، وأن استغلال ثغرة React أسهل.
وتشير شورتدريدج إلى أن قناة القيادة والتحكم هي وسيلة التنفيذ، مما يعني أنه بمجرد الاختراق، سيكون من الصعب جداً اكتشاف المهاجمين، وقد يتمكنون من الاندماج ضمن حركة المرور العادية وتنفيذ ما يرغبون به.
وأضافت أنه قد لا تدرك العديد من الشركات أنها تعرضت للهجوم، وأنه يتم اكتشاف تعرض بعض الشركات التي اعتقدت أنها غير معرضة للخطر، لحالات اختراق فعلية.