وتقول مايكروسوفت إن المهاجمين قد تعرضوا بالفعل للخطر “several hundred machines across a diverse set of organizations” عبر ثغرة React2Shell، باستخدام الوصول لتنفيذ التعليمات البرمجية، ونشر البرامج الضارة، وفي بعض الحالات، تقديم برامج الفدية.
في أ”_blank” href=”https://www.microsoft.com/en-us/security/blog/2025/12/15/defending-against-the-cve-2025-55182-react2shell-vulnerability-in-react-server-components/” rel=”nofollow”> بلوق وظيفة هذا الأسبوعوقال ريدموند إن المهاجمين يستغلون بشكل نشط CVE-2025-55182، المعروف باسم React2Shell، وهو عيب خطير في React Server Components يمكن إساءة استخدامه لتشغيل تعليمات برمجية عشوائية على خوادم ضعيفة.
وفقًا لفريق استخبارات التهديدات التابع لشركة Microsoft، فقد انتشر الاستغلال بالفعل إلى ما هو أبعد من مرحلة إثبات المفهوم، مع تأكيد مئات الأنظمة المخترقة عبر قطاعات ومناطق متعددة.
وقالت الشركة إن المهاجمين يسيئون استخدام الثغرة لتشغيل أوامر عشوائية، وإسقاط البرامج الضارة، والتعمق أكثر في بيئات الضحايا، وغالبًا ما يمزجون النشاط مع حركة مرور التطبيقات ذات المظهر الشرعي.
React2Shell أولاً”_blank” href=”https://www.theregister.com/2025/12/03/exploitation_is_imminent_react_vulnerability/”> انفجرت في العلن في وقت سابق من هذا الشهر، عندما حذر الباحثون من إمكانية استغلال خطأ React Server Components لتنفيذ تعليمات برمجية يتحكم فيها المهاجم. وسرعان ما تم ربط الخطأ بنقاط ضعف وتكوينات خاطئة أخرى”_blank” href=”https://www.theregister.com/2025/12/05/aws_beijing_react_bug/”>الحملات المبكرة المرتبطة بنشاط التهديد الصيني وإيران التي بحثت في الخوادم المكشوفة على نطاق واسع. وكشفت موجة منفصلة من الإفصاحات بعد أيام عن المزيد “SecretLeak” الأخطاء في أدوات React، مما أثار قلق المطورين الذين بدأوا للتو في فهم نصف قطر انفجار React2Shell.
تشير أحدث النتائج التي توصلت إليها مايكروسوفت إلى أن محاولات الاستغلال تصاعدت بسرعة بعد الكشف عنها للعامة، حيث يستخدم المهاجمون عمليات استغلال ناجحة لدفع البرامج الضارة – بما في ذلك أدوات التنزيل المستندة إلى الذاكرة وأدوات التعدين المشفرة – إلى الواجهات الخلفية لتطبيقات جافا سكريبت المكشوفة.
وترى فرق استخبارات التهديدات الأخرى نفس الشيء على أرض الواقع. قالت شركة الأمن S-RM إنها استجابت بالفعل للتطفل الواقعي الذي تم فيه استخدام React2Shell باعتباره ناقل الوصول الأولي لاختراق شبكة الشركة ونشر برامج الفدية.
“This is the first time S-RM has observed this vulnerability being used by financially motivated threat actors to facilitate a cyber extortion attack, and highlights an escalation in the known impact of this vulnerability compared to other public reporting, which has so far primarily documented instances of the vulnerability being used to introduce backdoor malware or cryptominers,” وقالت الشركة.
- تحذر Google من أن الصين وإيران تقضيان يومًا ميدانيًا مع React2Shell
- تبقى نصف خوادم React المكشوفة دون إصلاحات وسط الاستغلال النشط
- Cloudflare يلقي باللوم على انقطاع يوم الجمعة بسبب الإصلاح الفاشل لـ React2Shell vuln
- تحذر AWS من أن المتسللين المرتبطين ببكين يهاجمون خطأ React شديد الخطورة
يشير القياس عن بعد أيضًا إلى إساءة الاستخدام على نطاق صناعي. أندرو موريس، مؤسس GreyNoise،”_blank” href=”https://www.linkedin.com/feed/update/urn:li:activity:7406791119507914753/” rel=”nofollow”> كتب على LinkedIn ويظل هذا الاستغلال مكثفًا بعد أسابيع من الكشف عنه.
“React2Shell continues to pop off by our count at GreyNoise Intelligence,” قال موريس. “We continue to stack a pretty hefty number of distinct malware payloads. Exploitation is still very high with the number of cumulative networks exploiting this vuln reaching all-time highs almost every single day since disclosure.”
يعكس المقياس مدى انتشار مكونات React Server. تم تصميم هذه التقنية لتفريغ أعمال العرض إلى الخادم لتحسين الأداء، وهي الآن مضمنة في عدد لا يحصى من تطبيقات الإنتاج، حيث يشير أحد التقديرات إلى أن 39 بالمائة من البيئات السحابية معرضة لخلل React2Shell.
العدد الدقيق لضحايا React2Shell المعروفين غير معروف حتى الآن، لكن شركة Palo Alto Networks أكدت أن أكثر من 50 منظمة قد تعرضت للاختراق حتى الآن. ومع ذلك، فمن المرجح أن يكون الرقم الحقيقي أعلى من ذلك بكثير، كما حذر الباحثون الأسبوع الماضي من ذلك”_blank” href=”https://www.theregister.com/2025/12/12/vulnerable_react_instances_unpatched/”> تظل نصف الأنظمة المعرضة للخطأ دون تصحيح.
بالنسبة للمؤسسات التي لا تزال تسعى جاهدة للاستجابة، حثت Microsoft الفرق على تطبيق التصحيحات المتاحة، ومراجعة عمليات نشر React Server Component المكشوفة، ومراقبة علامات الاستغلال. مع استمرار تزايد الاستغلال وعدم اكتمال التصحيح، يظل React2Shell مفتوحًا على مصراعيه لإساءة الاستخدام. ®