وسط تقارير جديدة عن قيام مهاجمين بإحداث ثغرة أمنية قصوى (CVE-2025-55182) في مكتبة React JavaScript، قال رئيس التكنولوجيا في Cloudflare إن شركته أزالت شبكتها الخاصة، مما أدى إلى انقطاع واسع النطاق في وقت مبكر من يوم الجمعة، لتصحيح React2Shell.
فشل الشبكة، والذي أثر على حوالي 28 بالمائة من حركة مرور HTTP التي تخدمها Cloudflare وتسبب في ذلك”_blank” href=”https://www.theregister.com/2025/12/05/cloudflare_outage_again/”> إغلاق مواقع الويب حول العالم, “was not caused, directly or indirectly, by a cyber attack on Cloudflare’s systems or malicious activity of any kind,” قال الرئيس الفني لشركة Cloudflare Dane Knecht في مدونة يوم الجمعة.
“بدلاً من ذلك، تم تحفيزها من خلال التغييرات التي تم إجراؤها على منطق تحليل أجسامنا أثناء محاولتنا اكتشاف وتخفيف الثغرة الأمنية على مستوى الصناعة”_blank” rel=”nofollow” href=”https://blog.cloudflare.com/waf-rules-react-vulnerability/”>disclosed this week in React Server Components,” وأضاف.
يتبع snafu Cloudflare تقارير متعددة من هيئات المعلومات الخاصة بالتهديدات حول مهاجمين يهاجمون ثغرة React2Shell الخطيرة، والعديد من إثباتات المفاهيم – بعضها فعال وبعضها مزيف – يتم تداولها على الإنترنت، والتي بدأت جميعها بعد ساعات فقط من الكشف عن الخطأ علنًا.
يوضح كل هذا مدى انتشار التعليمات البرمجية مفتوحة المصدر التي تعمل على تشغيل الإنترنت، ووفقًا لما ذكره أحد المسؤولين التنفيذيين المعنيين بصيد التهديدات على الأقل، ينبغي أن يشجع مجتمع الأمان على إعادة التفكير في عملية الكشف بأكملها.
“Maybe we need to trust the security community and security providers more to act quickly and provide mitigations before threat actors are ready to exploit at a global scale,” ورأى Radware VP للتهديدات التي تواجهها Intel Pascal Geenens السجل. “It’s a race, but more security providers would be able to win if they had access to complete and accurate information.”
تفاعل متسلسل أيون
وإليك ما نعرفه حتى الآن عن مكافحة التطرف العنيف، ومن يسيء استخدامه، وإثباتات المفهوم (POCs) التي تنجح، بالإضافة إلى بعضها الذي لا ينجح.
يوم الأربعاء، فريق React”_blank” rel=”nofollow” href=”https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components”> تم الكشف عنها الخلل المقدر بـ 10.0 CVSS، وهو ثغرة أمنية غير آمنة لإلغاء التسلسل يطلق عليها الآن اسم React2Shell”_blank” rel=”nofollow” href=”https://github.com/lachlan2k”> لاتشلان ديفيدسون، الباحث الذي وجد الخطأ وأبلغ عنه. العيب هو”_blank” href=”https://www.theregister.com/2025/12/03/exploitation_is_imminent_react_vulnerability/”> من السهل إساءة استخدامها: لا يتطلب المصادقة ويسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية ضارة على الحالات الضعيفة.
كما أنه يؤثر أيضًا على أطر عمل React وحزمها، ولا سيما إطار عمل تطوير الويب Next.js.
لقد لاحظنا البحث عن RCE الضعيف، وأنشطة الاستطلاع، ومحاولة سرقة تكوين AWS وملفات الاعتماد، بالإضافة إلى تثبيت أدوات التنزيل لاسترداد الحمولات من البنية التحتية للتحكم والسيطرة للمهاجم.
اعتبارا من يوم الخميس، الحكومة البريطانية”_blank” rel=”nofollow” href=”https://digital.nhs.uk/cyber-alerts/2025/cc-4723″> حذر أن CVE-2025-55182 كان قيد الاستغلال النشط، ولاحظ العديد من نقاط الاتصال الوظيفية الوظيفية في البرية. وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)”_blank” rel=”nofollow” href=”https://www.cisa.gov/news-events/alerts/2025/12/05/cisa-adds-one-known-exploited-vulnerability-catalog”> تمت إضافة الخطأ إلى كتالوج الثغرات الأمنية المستغلة المعروفة في اليوم التالي.
وفي يوم الخميس أيضًا، أصدرت أمازون تحذيرًا و”_blank” href=”https://www.theregister.com/2025/12/05/aws_beijing_react_bug/”> حذر الطواقم المدعومة من بكين بدأت في سد الثغرة الأمنية الخطيرة في غضون ساعات من الكشف عنها، نقلاً عن “active exploitation attempts by multiple China state-nexus threat groups, including Earth Lamia and Jackpot Panda.”
ويقول صائدو التهديدات الآخرون إنهم يرون إساءة استخدام مماثلة لـ React2Shell.
“We are tracking alleged PRC-affiliated groups and continue to investigate and confirm activity,” وقال جاستن مور، المدير الأول لأبحاث التهديدات في وحدة شبكة بالو ألتو السجل يوم الجمعة.
“As of today, Unit 42 has confirmed a number of affected organizations across various sectors,” قال مور. “We have observed scanning for vulnerable RCE, reconnaissance activity, attempted theft of AWS configuration and credential files, as well installation of downloaders to retrieve payloads from attacker command and control infrastructure.”
وفي الوقت نفسه، شركة الأمن Bitdefender”_blank” rel=”nofollow” href=”https://www.bitdefender.com/en-us/blog/businessinsights/advisory-react2shell-critical-unauthenticated-rce-in-react-cve-2025-55182″> توقع: “Ransomware-as-a-Service (RaaS) groups and Initial Access Brokers (IABs) will rapidly weaponize this flaw to secure footholds in corporate networks as soon as a PoC is published.”
وفقًا لديفيدسون، بدأ POC الوظيفي في إجراء الجولات بعد حوالي 30 ساعة من الكشف عن الخطأ، وشاركه”_blank” rel=”nofollow” href=”https://github.com/lachlan2k/React2Shell-CVE-2025-55182-original-poc”> نقاط الاتصال بعد ساعات، مع الكتابة الكاملة قريبا.
هاكر”_blank” rel=”nofollow” href=”https://x.com/maple3142/status/1996687157789155647″> Maple3142 نشرت واحدة من هذه”_blank” rel=”nofollow” href=”https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3″> نقاط الاتصال إلى GitHub، وأكد مختبرو قلم Ox Security أنه يعمل. “This shows that this vulnerability is not just theoretical but actually highly risky, and should be patched immediately on your internet-facing services,” نير صادوق وموشيه سيمان طوف بستان”_blank” rel=”nofollow” href=”https://www.ox.security/blog/reacts-cve-2025-55182-is-now-actively-exploitable-verified-poc/”> قال يوم الجمعة.
ومع ذلك، كما أشار ديفيدسون وباحثون آخرون، فإن نقاط إثبات الهوية المزيفة تنتشر كالنار في الهشيم أيضًا.
“Anything that requires the developer to have explicitly exposed dangerous functionality to the client is not a valid PoC,” كتب ديفيدسون. “Common examples we’ve seen in supposed ‘POCs’ are vm#runInThisContext, child_process#exec, and fs#writeFile. This would only be exploitable if you had consciously chosen to let clients invoke these, which would be dangerous no matter what.”
ماذا يقول هذا عن الإفصاح المسؤول
وربما تكون إثباتات المفهوم غير الصالحة هذه، بالإضافة إلى تفاصيل محدودة حول الاستغلال نفسه، قد منحت المهاجمين الميزة، وفقًا لجينينز. هذا صحيح بشكل خاص “when open source software is involved, because anyone can access the details of the code changes required to fix the vulnerability,” قال السجل.
لا يلوم Geenens ديفيدسون على الانتظار لمشاركة تفاصيل إضافية أو نشر إثباتات المفهوم (POC) الخاصة به. “I think many security researchers would act exactly the same, trying to buy the security community time to develop protections and for organizations to deploy the update before widespread exploiting in the wild starts,” قال.
لكنه أضاف أن محاولات الاستغلال السريع أبلغت عنها شركة AWS وغيرها “suggest we may need to rethink this strategy.”
- “الاستغلال وشيك” حيث أن 39 بالمائة من البيئات السحابية بها ثغرة رد فعل شديدة الخطورة
- تحذر AWS من أن المتسللين المرتبطين ببكين يهاجمون خطأ React شديد الخطورة
- تعاني Cloudflare من الانقطاع الثاني خلال عدة أشهر أثناء الصيانة الروتينية
- شق جواسيس جمهورية الصين الشعبية طريقهم إلى الشبكات الأمريكية المهمة وظلوا مختبئين لسنوات
وأوضح جينينز أن عملاء الإنترنت المدعومين من الحكومة لديهم خبرة القرصنة – والجيوب العميقة – اللازمة لتطوير عمليات الاستغلال بسرعة بناءً على معلومات محدودة.
“Not sharing the details of the exploit might give them the edge they need to get ahead of some organizations’ protections,” قال. “The limited information led to inaccurate assumptions and invalid information circulating in the community, potentially affecting the mitigations some organizations have put in place and giving them a false sense of security.” ®