تتزايد استغلالات React2Shell بشكل ملحوظ بعد الكشف عن ثغرة CVE-2025-55182، مما يثير القلق بين الباحثين في مجال الأمن السيبراني.
تدفق هائل من استغلالات إثبات المفهوم (PoC) لـ React2Shell اجتاح الإنترنت بعد الكشف عن الثغرة الأسبوع الماضي، وبينما يقول باحثو الأمن إن معظمها مزيف وغير فعال ومولد بواسطة الذكاء الاصطناعي، فإن بعض هذه الاستغلالات أثبتت أنها خطيرة للغاية.
تم الكشف عن CVE-2025-55182 في 3 ديسمبر مع درجة CVSS قصوى تبلغ 10، مما أثار دعوات عاجلة للتخفيف الفوري. تنشأ الثغرة في تنفيذ التعليمات البرمجية عن بُعد (RCE) من مشكلة في التسلسل غير الآمن في بروتوكول مكونات خادم React (RSC) الذي يؤثر ليس فقط على برمجيات React مفتوحة المصدر ولكن أيضًا على أطر عمل أخرى مثل Next.js.
تعرضت الثغرة الحرجة للاستغلال بعد فترة وجيزة من الكشف العام، حيث لاحظت معلومات التهديد من أمازون هجمات من عدة مجموعات تهديد مرتبطة بالصين. زادت الهجمات ضد الثغرة، التي يشير إليها الباحثون باسم “React2Shell”، هذا الأسبوع حيث أطلق المهاجمون من جميع الأنواع حملات باستخدام برامج تعدين العملات المشفرة، وسرقة المعلومات، وأبواب خلفية، وأكثر من ذلك.
استخدمت بعض هذه الهجمات استغلالات PoC العامة، التي اجتاحت GitHub ومنصات أخرى خلال الأسبوع الماضي. بينما وجد بائعو الأمن السيبراني أن الجزء الأكبر من هذه الاستغلالات غير مجدي، أبرز الباحثون بعض الأمثلة والاتجاهات الجديرة بالاهتمام.
استغلالات React2Shell في بحر من الفوضى
في تقرير تهديد هذا الأسبوع، قال باحثو Trend Micro إنهم حددوا حوالي 145 استغلالًا عامًا لـ React2Shell، على الرغم من أن معظمها فشل في تفعيل الثغرة. كانت بعض PoCs معطلة أو مزيفة أو خبيثة بشكل صريح، تحتوي على أبواب خلفية وأنواع أخرى من البرمجيات الخبيثة.
ومع ذلك، أدرجت Trend Micro عددًا قليلاً من الاستغلالات التي تم التحقق منها من قبل فريق البحث وأعضاء آخرين من مجتمع الأمن السيبراني، والتي يمكن استخدامها للاختبار الاختراقي المستهدف.
في منشور مدونة يوم الجمعة، قال كبير موظفي التكنولوجيا في VulnCheck، جاكوب باينز، إن تدفق استغلالات React2Shell هو “مذهل”، وقد تجاوز أي شيء كان على الشركة مراجعته من قبل. بينما الكود المنشور غير فعال وقد خلق ببساطة ضجيجًا للم defenders والباحثين، وجد فريق البحث في VulnCheck بعض الاستغلالات على GitHub التي تميزت.
على سبيل المثال، أبرز باينز استغلالًا يحتوي على منطق لتحميل Godzilla، وهو قذيفة ويب في الذاكرة تم استخدامها في حملات تهديد بارزة وهجمات في العالم الحقيقي. “استغلال إثبات مفهوم عام ينشر Godzilla يضمن تقريبًا أننا سنرى هذه التقنية تُستخدم في البرية”، كتب.
احتوى استغلال آخر على أداة قائمة على واجهة المستخدم كتبها مطور يتحدث اللغة الصينية، تحتوي على تجاوز يعتمد على Unicode لجدران الحماية لتطبيقات الويب (WAFs). بينما ركز استغلال آخر على WAFs بطريقة مختلفة – بدلاً من إسقاط حمولة، نشر WAF خفيف الوزن لمنع استغلال React2Shell. “إنها لمسة غير متوقعة ولكنها ذكية: استخدام الثغرة للدفاع ضد الثغرة”، كتب باينز.
احذر من تجاوزات WAF
تجاوزات WAF وفحص الثغرات التلقائي هما سمتان شائعتان للعديد من الاستغلالات العامة، لاحظ باحثو Trend Micro. تعتبر تجاوزات WAF ملحوظة لأن شركات مثل Cloudflare وAWS نشرت قواعد جديدة لـ WAF قبل الكشف عن CVE-2025-55182 مصممة لمنع هجمات React2Shell.
ومع ذلك، وجد المهاجمون والباحثون على حد سواء طرقًا للتغلب على بعض هذه الدفاعات WAF. وأشار باحثو Trend Micro إلى أن العملاء قد يحصلون على شعور زائف بالأمان من هذه الحمايات. على سبيل المثال، قال الباحثون إن هناك مفهومًا خاطئًا شائعًا هو أن قواعد WAF التي تحظر ببساطة الطلبات التي تحتوي على خاصية “__proto__” فعالة. ومع ذلك، فإن هذا ليس هو الحال. “لقد رأينا العديد من تجاوزات WAF”، قال الباحثون.
قالت Trend Micro إن قواعد WAF الفعالة يجب أن تحظر أيضًا مراجع $@ chunk؛ سلسلة resolved_model؛ نمط constructor:constructor؛ ونمط _formData.get.
يقول كايل بلاك، باحث الثغرات الأمنية الأول في VulnCheck، إن معظم جهود تجاوز WAF حتى الآن قد فشلت. “يبدو أن الخصوم يضيفون تجاوزات WAF إلى استغلالات React2Shell الخاصة بهم لاستغلال التأخيرات أو الحمايات المخصصة، ولكن بناءً على تحليل VulnCheck لأنواع الاستغلال، نعتقد أنه من غير المحتمل أن تكون هذه التجاوزات الأكثر تخصصًا قابلة للتطبيق على نطاق واسع أو بشكل عام على البائعين الرئيسيين”، كما يقول.
بينما استخدمت معظم تجاوزات WAF التي حللها باحثو VulnCheck تقنيات تشفير شائعة أو تقنيات تشويش JavaScript، هناك بعض الاستثناءات. “هناك أنواع معينة تستفيد من بروتوكول رحلة React التي قد لا تزال قادرة على تجاوز الحلول الأصلية من خلال القيام بمطابقة أنماط بسيطة – مع ظهور وتطور هذه الأنواع، فإنها تعزز فهمًا أفضل لمدى فعالية قواعد WAF في الواقع”، يقول بلاك.
أطلقت شركة Vercel، التي تحافظ على إطار عمل Next.js، برنامج مكافآت محدد لتجاوزات قواعد WAF الخاصة بها التي تسمح باستغلال React2Shell بنجاح. البرنامج، الذي يستضيفه HackerOne، يدفع 25,000 دولار لتجاوزات عالية الخطورة و50,000 دولار لتجاوزات حرجة.
مع تزايد التهديدات، من الضروري أن تبقى الشركات على اطلاع دائم بأحدث أساليب الحماية ضد استغلالات React2Shell.
