أكثر من 77000 عنوان IP مكشوف على الإنترنت عرضة لخلل تنفيذ التعليمات البرمجية عن بعد React2Shell (CVE-2025-55182)، حيث يؤكد الباحثون الآن أن المهاجمين قد قاموا بالفعل باختراق أكثر من 30 مؤسسة عبر قطاعات متعددة.
React2Shell هي ثغرة أمنية غير مصادق عليها في تنفيذ التعليمات البرمجية عن بعد والتي يمكن استغلالها عبر طلب HTTP واحد وتؤثر على جميع الأطر التي تنفذ مكونات React Server، بما في ذلك Next.js، الذي يستخدم نفس منطق إلغاء التسلسل.
رد فعل”https://www.bleepingcomputer.com/news/security/critical-react2shell-flaw-in-react-nextjs-lets-hackers-run-javascript-code/” الهدف=”_blank” rel=”nofollow noopener”> الكشف عن الثغرة الأمنية في 3 ديسمبر، موضحًا أن إلغاء التسلسل غير الآمن للبيانات التي يتحكم فيها العميل داخل React Server Components يمكّن المهاجمين من تشغيل تنفيذ عن بعد وغير مصادق لأوامر عشوائية.
يُطلب من المطورين تحديث React إلى الإصدار الأحدث، وإعادة بناء تطبيقاتهم، ثم إعادة النشر لإصلاح الثغرة الأمنية.
في 4 ديسمبر، باحث أمني”https://x.com/maple3142/status/1996687157789155647″ الهدف=”_blank” rel=”nofollow noopener”> مابل3142 نشرت إثباتًا عمليًا للمفهوم يوضح تنفيذ الأوامر عن بعد ضد الخوادم غير المصححة. وبعد فترة وجيزة، تسارعت عملية البحث عن الخلل حيث بدأ المهاجمون والباحثون في استخدام الثغرة العامة باستخدام أدوات آلية.
أكثر من 77000 عنوان IP معرض للخطر
مجموعة مراقبة الإنترنت Shadowserver”https://infosec.exchange/@shadowserver/115672050969855947″ الهدف=”_blank” rel=”nofollow noopener”> تقارير الآن أنها اكتشفت 77,664 عنوان IP عرضة لثغرة React2Shell، منها ما يقرب من 23,700 في الولايات المتحدة.
مصدر:”https://dashboard.shadowserver.org/statistics/combined/time-series/?date_range=7&source=http_vulnerable&source=http_vulnerable6&tag=cve-2025-55182%2B&dataset=unique_ips&limit=100&group_by=tag&stacking=stacked&auto_update=on” الهدف=”_blank” rel=”nofollow noopener”> خادم الظل
وتوصل الباحثون إلى أن عناوين IP كانت عرضة للخطر باستخدام تقنية الكشف التي طورتها شركة Searchlight Cyber/Assetnote، حيث تم إرسال طلب HTTP إلى الخوادم لاستغلال الخلل، وتم فحص استجابة محددة للتأكد مما إذا كان الجهاز عرضة للخطر.
الضوضاء الرمادية أيضًا”https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far” الهدف=”_blank” rel=”nofollow noopener”>تم تسجيل 181 عنوان IP مميزًا محاولة استغلال الثغرة خلال الـ 24 ساعة الماضية، مع ظهور معظم حركة المرور بشكل تلقائي. ويقول الباحثون إن عمليات المسح تأتي في المقام الأول من هولندا والصين والولايات المتحدة وهونج كونج وعدد صغير من البلدان الأخرى.
مصدر:”https://viz.greynoise.io/tags/react-server-components-unsafe-deserialization-cve-2025-55182-rce-attempt?days=10″ الهدف=”_blank” rel=”nofollow noopener”>جرينوايز
تفيد تقارير Palo Alto Networks أن أكثر من 30 مؤسسة قد تم اختراقها بالفعل من خلال ثغرة React2Shell، حيث يستغل المهاجمون الثغرة الأمنية لتشغيل الأوامر وإجراء الاستطلاع ومحاولة سرقة تكوين AWS وملفات بيانات الاعتماد.
تشمل هذه التنازلات عمليات التطفل المرتبطة بجهات تهديد صينية معروفة مرتبطة بالدولة.
استغلال واسع النطاق لـ React2Shell
منذ الكشف عنها، لاحظ الباحثون وشركات استخبارات التهديد”http://CVE-2025-55182https://www.bleepingcomputer.com/news/security/react2shell-critical-flaw-actively-exploited-in-china-linked-attacks/” الهدف=”_blank” rel=”nofollow noopener”> استغلال واسع النطاق لخلل CVE-2025-55182.
تشير GreyNoise إلى أن المهاجمين يبدأون في كثير من الأحيان بأوامر PowerShell التي تؤدي وظيفة رياضية أساسية للتأكد من أن الجهاز عرضة لخلل تنفيذ التعليمات البرمجية عن بعد.
تُرجع هذه الاختبارات نتائج يمكن التنبؤ بها مع ترك الحد الأدنى من علامات الاستغلال:
بوويرشيل-ج "40138*41979"بوويرشيل-ج "40320*43488"بمجرد تأكيد تنفيذ التعليمات البرمجية عن بعد، شوهد المهاجمون وهم ينفذون أوامر PowerShell المشفرة باستخدام Base64 والتي تقوم بتنزيل نصوص برمجية إضافية مباشرة في الذاكرة.
powershell -enc أحد الأوامر الملحوظة ينفذ برنامج PowerShell للمرحلة الثانية من الموقع الخارجي (23[.]235[.]188[.]3)، والذي يُستخدم لتعطيل AMSI لتجاوز أمان نقطة النهاية ونشر حمولات إضافية.
وفق”https://www.virustotal.com/gui/file/3b91fc7bfee3c4d7e1ad23d30a00491e2e1cf9ad8dfad38874d30e863b566190/detection” الهدف=”_blank” rel=”nofollow noopener”> إجمالي الفيروسات، يقوم البرنامج النصي PowerShell الذي لاحظته GreyNoise بتثبيت منارة Cobalt Strike على الجهاز المستهدف، مما يمنح الجهات الفاعلة في مجال التهديد موطئ قدم على الشبكة.
فرق استخبارات التهديد في Amazon AWS أيضًا”https://aws.amazon.com/blogs/security/china-nexus-cyber-threat-groups-rapidly-exploit-react2shell-vulnerability-cve-2025-55182/” الهدف=”_blank” rel=”nofollow noopener”> شهد الاستغلال السريع بعد ساعات من الكشف عن خلل React CVE-2025-55182، مع البنية التحتية المرتبطة بمجموعات قرصنة APT المرتبطة بالصين والمعروفة باسم Earth Lamia وJackpot Panda.
في هذا الاستغلال، يقوم ممثلو التهديد بالاستطلاع على الخوادم الضعيفة باستخدام أوامر مثل whoami و idومحاولة كتابة الملفات وقراءة /etc/passwd.
لاحظت شركة Palo Alto Networks أيضًا استغلالًا مشابهًا، وأرجعت بعضًا منه إلى”https://malpedia.caad.fkie.fraunhofer.de/actor/unc5174″ الهدف=”_blank” rel=”nofollow noopener”> UNC5174، وهو ممثل تهديد ترعاه الدولة الصينية ويُعتقد أنه مرتبط بوزارة أمن الدولة الصينية.
“Unit 42 observed threat activity we assess with high confidence is consistent with CL-STA-1015 (aka UNC5174), a group suspected to be an initial access broker with ties to the Chinese Ministry of State Security,”صرح جاستن مور، المدير الأول في وحدة Palo Alto Networks Unit 42، لموقع BleepingComputer عبر البريد الإلكتروني.
“In this activity, we observed the deployment of Snowlight and Vshell malware, both highly consistent with Unit 42 knowledge of CL-STA-1015 (also known as UNC5174).”
البرامج الضارة المنتشرة في هذه الهجمات هي:
- ضوء الثلج: قطارة البرامج الضارة التي تسمح للمهاجمين عن بعد بإسقاط حمولات إضافية على الأجهزة المخترقة.
- فشيل: باب خلفي يستخدم عادة من قبل مجموعات القرصنة الصينية للوصول عن بعد، وأنشطة ما بعد الاستغلال، والتحرك أفقيًا عبر شبكة مخترقة.
الاندفاع إلى التصحيح
نظرًا لخطورة خلل React، سارعت الشركات في جميع أنحاء العالم إلى تثبيت التصحيح وتطبيق إجراءات التخفيف.
أمس،”http://detectionsandmitigationsduetotheactiveexploitationofthevulnerability.” الهدف=”_blank” rel=”nofollow noopener”> طرحت Cloudflare اكتشافات الطوارئ وعمليات التخفيف لخلل React في جدار حماية تطبيقات الويب (WAF) نظرًا لاستغلاله وخطورته على نطاق واسع.
ومع ذلك، التحديث عن غير قصد”https://www.bleepingcomputer.com/news/technology/cloudflare-down-websites-offline-with-500-internal-server-error/” الهدف=”_blank” rel=”nofollow noopener”>تسبب في انقطاع الخدمة مما أثر على العديد من مواقع الويب قبل تصحيح القواعد
CISA لديها أيضا”https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog” الهدف=”_blank” rel=”nofollow noopener”> تمت إضافة CVE-2025-55182 إلى كتالوج الثغرات الأمنية المستغلة المعروفة (KEV)، مما يتطلب من الوكالات الفيدرالية تطبيق التصحيحات بحلول 26 ديسمبر 2025، بموجب التوجيه التشغيلي الملزم 22-01.
يُنصح المؤسسات التي تستخدم مكونات React Server أو أطر العمل المبنية عليها بتطبيق التحديثات على الفور، وإعادة بناء تطبيقاتها وإعادة نشرها، ومراجعة السجلات بحثًا عن علامات تنفيذ أمر PowerShell أو shell.
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.