تواجه المؤسسات حول العالم موجة هجمات واسعة بعد الكشف عن ثغرة React2Shell الخطيرة، التي تحمل المعرف CVE‑2025‑55182 بدرجة خطورة 10.0، والتي تؤثر على بروتوكول React Server Components (RSC) Flight. وتعود خطورة الثغرة إلى وجود عملية تفكيك غير آمنة (Unsafe Deserialization) تسمح للمهاجم بحقن شيفرة JavaScript خبيثة تُنفَّذ بصلاحيات عالية على الخادم دون الحاجة إلى مصادقة أو تفاعل من المستخدم.
ولا يقتصر تأثير الثغرة على React فقط، بل يمتد إلى أطر عمل واسعة الاستخدام مثل Next.js وWaku وVite وReact Router وRedwoodSDK، ما يجعل نطاق الهجوم عالميًا وواسعًا.
CISA تُسرّع الموعد النهائي للترقيع وسط استغلال نشط
منذ الإعلان عن الثغرة في 3 ديسمبر 2025، رصدت فرق استخبارات التهديدات استغلالًا مكثفًا من جهات متعددة. هذا التصعيد دفع CISA إلى إدراج الثغرة ضمن كتالوج الثغرات المستغلة فعليًا KEV، مع تقليص الموعد النهائي لترقيع الأنظمة من 26 ديسمبر إلى 12 ديسمبر 2025، في خطوة تعكس خطورة الوضع.
وأشارت شركة Wiz إلى موجة “استغلال انتهازي سريع” تستهدف بشكل أساسي تطبيقات Next.js المكشوفة على الإنترنت، إضافة إلى الحاويات العاملة ضمن بيئات Kubernetes والخدمات السحابية المُدارة.
هجمات موجهة نحو أهداف حساسة وبحث مكثف عن الأنظمة الضعيفة
تؤكد Cloudflare أن المهاجمين يستخدمون أدوات مسح واسعة النطاق للبحث عن الأنظمة الضعيفة، مع ملاحظة لافتة وهي استثناء نطاقات IP الصينية من عمليات المسح. وتتركز أعلى كثافة للهجمات في:
- تايوان
- شينجيانغ
- فيتنام
- اليابان
- نيوزيلندا
وهي مناطق ترتبط عادةً بأولويات جمع المعلومات الجيوسياسية.
كما استهدفت الهجمات مواقع حكومية، ومؤسسات أكاديمية، ومشغلي بنى تحتية حساسة، بما في ذلك هيئة وطنية مسؤولة عن تجارة اليورانيوم والمعادن النادرة والوقود النووي.
مؤشرات إضافية على حملة منظمة واسعة
تشير البيانات إلى أن المهاجمين ركزوا على:
- مديري كلمات المرور المؤسسية وخدمات التخزين الآمن، في محاولة محتملة لتنفيذ هجمات سلسلة توريد
- أجهزة SSL VPN التي تعتمد على مكونات React في واجهاتها الإدارية
- أنشطة مسح مبكرة مصدرها عناوين IP مرتبطة بمجموعات تهديد آسيوية
وفي تحليل لشركة Kaspersky، تم تسجيل أكثر من 35,000 محاولة استغلال في يوم واحد (10 ديسمبر 2025)، حيث بدأ المهاجمون بتنفيذ أوامر استطلاعية مثل whoami قبل نشر برمجيات تعدين العملات أو عائلات بوت نت مثل Mirai وGafgyt وRondoDox.
أدلة على حملة استهداف ضخمة تشمل عشرات الآلاف من المواقع
اكتشف الباحث Rakesh Krishnan دليلًا مفتوحًا على خادم بعنوان 154.61.77[.]105:8082 يحتوي على:
- سكربت PoC لاستغلال الثغرة
- ملف domains.txt يضم 35,423 نطاقًا
- ملف next_target.txt يضم 596 رابطًا لشركات بارزة مثل Starbucks وPorsche وLululemon
وتشير التحليلات إلى أن جهة التهديد غير المعروفة تقوم بمسح الإنترنت وفق قائمة الأهداف في الملف الثاني، مع إصابة مئات الصفحات بالفعل.
