بدأت العديد من الجهات الفاعلة المرتبطة بالتهديد بالصين في استغلال ثغرة React2Shell (CVE-2025-55182) التي تؤثر على React وNext.js بعد ساعات فقط من الكشف عن مشكلة الخطورة القصوى.
رد الفعل 2شيل هي ثغرة أمنية في إلغاء التسلسل غير الآمنة في بروتوكول “الرحلة” الخاص بمكونات خادم React Server (RSC). لا يتطلب استغلالها المصادقة ويسمح بالتنفيذ عن بعد لتعليمات JavaScript البرمجية في سياق الخادم.
بالنسبة لإطار عمل Next.js، يوجد المعرف CVE-2025-66478، ولكن تم رفض رقم التتبع في قائمة CVE بقاعدة بيانات الضعف الوطنية باعتباره نسخة مكررة من CVE-2025-55182.
من السهل الاستفادة من المشكلة الأمنية، وقد تم بالفعل نشر العديد من عمليات استغلال إثبات المفهوم (PoC)، مما يزيد من خطر نشاط التهديد ذي الصلة.
تمتد الثغرة الأمنية إلى عدة إصدارات من المكتبة المستخدمة على نطاق واسع، مما قد يؤدي إلى كشف آلاف المشاريع التابعة. يقول باحثو Wiz أن 39% من البيئات السحابية التي يمكنهم مراقبتها معرضة لهجمات React2Shell.
أصدرت React وNext.js تحديثات أمنية، لكن المشكلة قابلة للاستغلال دون مصادقة وفي التكوين الافتراضي.
هجمات React2Shell جارية
يحذر تقرير من Amazon Web Services (AWS) من أن الجهات الفاعلة في مجال التهديد Earth Lamia وJackpot Panda المرتبطة بالصين بدأت في استغلال React2Shell على الفور تقريبًا بعد الكشف العلني.
“Within hours of the public disclosure of CVE-2025-55182 (React2Shell) on December 3, 2025, Amazon threat intelligence teams observed active exploitation attempts by multiple China state-nexus threat groups, including Earth Lamia and Jackpot Panda,” يقرأ تقرير AWS.
كما اكتشفت مصائد جذب AWS نشاطًا لا يُنسب إلى أي مجموعات معروفة، ولكنه لا يزال ينشأ من البنية التحتية الموجودة في الصين.
تشترك العديد من المجموعات المهاجمة في نفس البنية التحتية لإخفاء الهوية، مما يزيد من تعقيد التتبع الفردي والإسناد المحدد.
فيما يتعلق بمجموعتي التهديد المحددتين، تركز Earth Lamia على استغلال نقاط الضعف في تطبيقات الويب.
تشمل الأهداف النموذجية الكيانات العاملة في مجال الخدمات المالية والخدمات اللوجستية وتجارة التجزئة وشركات تكنولوجيا المعلومات والجامعات والقطاعات الحكومية في جميع أنحاء أمريكا اللاتينية والشرق الأوسط وجنوب شرق آسيا.
وعادة ما تقع أهداف Jackpot Panda في شرق وجنوب شرق آسيا، وتهدف هجماتها إلى جمع معلومات استخباراتية عن الفساد والأمن الداخلي.
PoCs متاحة الآن
حذر لاتشلان ديفيدسون، الباحث الذي اكتشف React2Shell وأبلغ عنه، من عمليات الاستغلال المزيفة المنتشرة عبر الإنترنت. ومع ذلك، أكد باحث Rapid7 أن الثغرات صالحة”https://x.com/stephenfewer/status/1996697494525264219″ الهدف=”_blank” rel=”nofollow noopener”> ستيفن أقل والأمن المرن”https://x.com/dez_/status/1996720660505145810″ الهدف=”_blank” rel=”nofollow noopener”> جو ديسيمونظهرت على جيثب.
تستفيد الهجمات التي لاحظتها AWS من مزيج من عمليات الاستغلال العامة، بما في ذلك تلك المعطلة، إلى جانب الاختبار اليدوي المتكرر واستكشاف الأخطاء وإصلاحها في الوقت الفعلي ضد البيئات المستهدفة.
يتضمن النشاط المرصود محاولات متكررة بحمولات مختلفة، وتنفيذ أوامر Linux (com.whoami, بطاقة تعريف)، يحاول إنشاء ملفات (/tmp/pwned.txt)، ومحاولات القراءة/الخ/passwd/.’
“This behavior demonstrates that threat actors aren’t just running automated scans, but are actively debugging and refining their exploitation techniques against live targets,” تعليق الباحثين في AWS.
أصدرت منصة إدارة سطح الهجوم (ASM) Assetnote”https://github.com/assetnote/react2shell-scanner” الهدف=”_blank” rel=”nofollow noopener”> الماسح الضوئي React2Shell على GitHub والتي يمكن استخدامها لتحديد ما إذا كانت البيئة عرضة لـ React2Shell.
“https://www.bleepstatic.com/c/t/tines/tines-keyhole.jpg” البديل=”tines”>
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.