ثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد (RCE) في رد فعل مكتبة جافا سكريبت، والذي تسبب في وقت سابق من اليوم في حدوث اضطراب عبر الإنترنت أيضًا دفعت Cloudflare عمليات التخفيف Live على شبكتها، ويتم استغلالها الآن من قبل جهات تهديد متعددة على نطاق واسع، وفقًا للتقارير.
تتم صيانته بواسطة ميتاReact هو مورد مفتوح المصدر مصمم لتمكين المطورين من إنشاء واجهات المستخدم (UIs) لكل من التطبيقات الأصلية وتطبيقات الويب.
الضعف المعني، المعينة CVE-2025-55182 ويُطلق عليها المجتمع الإلكتروني اسم React2Shell، وهو عيب RCE للمصادقة المسبقة تم تسجيله بشكل حاسم في الإصدارات 19.0.0 و19.1.0 و19.1.1 و19.2.0 من React Server Components الذي يستغل خللًا في كيفية فك تشفير الحمولات المرسلة إلى نقاط نهاية وظيفة React.
وهذا يعني أنه من خلال صياغة طلب HTTP ضار إلى نقطة نهاية وظيفة الخادم، فإن هذا يعني أن جهة التهديد يمكن أن تكتسب القدرة على تشغيل تعليمات برمجية عشوائية على الخادم الهدف.
تمت إضافته إلى كتالوج وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الجمعة 5 ديسمبر، ووفقًا لـ Amazon Web Services (AWS) CISO ونائب رئيس هندسة الأمن، CJ Moses، يُعتقد أن الجناة الرئيسيين وراء الاستغلال السريع هم الجهات الفاعلة التي تهدد العلاقة بين الصين.
وحذر موسيس من أن عادة الصين في تشغيل بنية تحتية مشتركة واسعة النطاق لإخفاء الهوية للعديد من الجهات الفاعلة في مجال التهديد المدعومة من الدولة، جعلت من الصعب تحديد مصدرها، ومع ذلك، بعد الكشف يوم الأربعاء 3 ديسمبر، لوحظت مجموعات تم تتبعها مثل Earth Lamia وJackpot Panda وهي تستفيد من React2Shell.
وكتب: “لا تزال الصين المصدر الأكثر إنتاجية لنشاط التهديد السيبراني الذي ترعاه الدولة، حيث تقوم الجهات الفاعلة في مجال التهديد بشكل روتيني بتشغيل الثغرات العامة في غضون ساعات أو أيام من الكشف”.
“من خلال المراقبة في منطقتنا أوس مادبوت البنية التحتية لمصيدة الجذب، حددت فرق استخبارات التهديدات في أمازون كلاً من المجموعات المعروفة ومجموعات التهديدات التي لم يتم تعقبها سابقًا والتي تحاول استغلال CVE-2025-55182.
تشتهر شركة Earth Lamia باستغلال الثغرات الأمنية في تطبيقات الويب ضد المؤسسات الموجودة بشكل أساسي في أمريكا اللاتينية والشرق الأوسط وجنوب شرق آسيا، مع التركيز بشكل خاص على المؤسسات التعليمية ومنظمات الخدمات المالية والهيئات الحكومية وشركات تكنولوجيا المعلومات وشركات الخدمات اللوجستية وتجار التجزئة.
وفقًا لشركة AWS، تستهدف Jackpot Panda أنشطتها في كيانات في شرق وجنوب شرق آسيا، حيث تتماشى عملياتها مع أهداف الصين المتعلقة بالفساد والأمن الداخلي.
هجوم هائل
مع التقارير التي تشير إلى أنه قد يكون هناك أكثر من 950.000 خوادم تقوم بتشغيل أطر عمل ضعيفة مثل React وNext.js، حذر باحثو تهديدات Radware من سطح هجوم محتمل هائل.
يتم استخدام كل من React وNext.js بشكل جيد بفضل كفاءتهما ومرونتهما، في حين أن الأنظمة البيئية القوية تجعلهما خيارًا افتراضيًا للعديد من المطورين – وعلى هذا النحو يتم العثور عليهما تحت الغطاء في كل مكان، بدءًا من تطبيقات الهاتف المحمول والمواقع الإلكترونية التي تواجه المستهلك وحتى الأنظمة الأساسية على مستوى المؤسسات، كما قال Radware.
وقال فريق Radware: “هذا الاعتماد الواسع النطاق يعني أن خللًا خطيرًا واحدًا يمكن أن يكون له عواقب متتالية على جزء كبير من البنية التحتية الحديثة للويب”. “هناك عدد كبير من التطبيقات عبر السحابات العامة والخاصة التي يمكن استغلالها على الفور، مما يستلزم اتخاذ إجراءات عاجلة وواسعة النطاق.”
مايكل بيل، المؤسس والرئيس التنفيذي لشركة مختبرات سوزووقال، وهو متخصص في اختبار الاختراق وأمن الذكاء الاصطناعي، إن الساعات التي تفصل بين الكشف والاستغلال النشط من قبل الجهات الفاعلة التابعة للدولة القومية هي الوضع الطبيعي الجديد، ومن المرجح أن تزداد الأمور سوءًا.
وقال: “لقد قامت المجموعات المرتبطة بالصين بتصنيع استجابتها لنقاط الضعف: فهي تراقب الإفصاحات، وتستولي على إثباتات المفهوم العامة – حتى المكسورة منها – وترشها على نطاق واسع قبل أن تنتهي معظم المنظمات من قراءة التحذيرات”.
“يوضح تقرير AWS الذي يوضح قيام المهاجمين بتصحيح أخطاء الثغرات في الوقت الفعلي ضد مصائد مخترقي الشبكات أن هذا ليس مسحًا آليًا؛ بل هو مشغلو لوحة المفاتيح الذين يتسابقون لتحقيق الثبات قبل طرح التصحيحات.
قال بيل: “مع تزايد قدرة أدوات الذكاء الاصطناعي على تحليل عمليات الكشف عن الثغرات الأمنية وتوليد أكواد الاستغلال، نتوقع أن تتقلص الفترة بين الكشف والتسليح من ساعات إلى دقائق”.
وأضاف أن انقطاع Cloudflare السابق في خدمة تصحيح الطوارئ “يخبرك بكل شيء عن حساب مدى الخطورة هنا”.
