هجوم React2Shell: ثغرة حرجة في React تطلق أزمة تنفيذ أكواد عالمية

بدأ الأمر بهدوء في أوائل ديسمبر 2025: بعض الإشارات الغريبة، ارتفاع في عمليات تعدين العملات الرقمية على خوادم سحابية غير مألوفة، وهمسات عن بيئات تطوير مخترقة. لكن مع مرور الأيام، أدرك المحققون في مايكروسوفت ومجتمع الأمن السيبراني أنهم يواجهون واحدة من أخطر ثغرات الويب منذ سنوات. ثغرة React2Shell، التي تحمل التعيين الرسمي CVE-2025-55182، انفجرت لتصبح حالة طوارئ أمنية عالمية - مستهدفة الأطر البرمجية التي تشغل الويب الحديث.

جوهر هذه الأزمة يكمن في خطأ دقيق لكنه كارثي في بروتوكول Flight، الآلية التي تستخدمها React Server Components لنقل البيانات بين العميل والخادم. مع فشل التحقق من صحة المدخلات في لحظة حرجة، يمكن للمهاجمين تمرير حمولات خبيثة - مما يؤدي إلى تنفيذ أكواد عشوائية داخل بيئة Node.js، غالبًا قبل حتى بدء المصادقة. الثغرة سهلة الاستغلال بشكل صادم: كود إثبات المفهوم يعمل في كل مرة تقريبًا، ولا يتطلب أي خطأ من المطور.

ترسم بيانات مايكروسوفت صورة قاتمة. آلاف التطبيقات - العديد منها في بيئة الإنتاج - مكشوفة. الاستغلال الفعلي بدأ بالفعل، مع مهاجمين يتراوحون بين فرق الاختبار الأحمر والمجموعات الإجرامية. أهدافهم: نشر برامج تعدين XMRig لتحقيق الربح، زرع أبواب خلفية دائمة مثل VShell وEtherRAT، وسرقة بيانات الاعتماد السحابية بهدوء. في بعض الحالات، عدّل المهاجمون ملفات authorized_keys في لينكس للحفاظ على وصول الجذر، وأنشأوا أنفاق Cloudflare لتجنب الاكتشاف.

لكن التهديد لا يتوقف عند الاختراق الأولي. بمجرد الدخول، يتحرك الخصوم بسرعة، ويجرون استطلاعًا لنهب الأسرار من Azure وAWS وGoogle Cloud وTencent Cloud عبر نقاط بيانات التعريف الخاصة بالمثيلات. تساعدهم أدوات متخصصة مثل TruffleHog وGitleaks في استخراج رموز API ومفاتيح OpenAI وبيانات اعتماد حسابات خدمة Kubernetes. في البيئات الحاوية، تعتمد النتائج على وضع الأمان - بعض الحاويات سقطت بسهولة، بينما صمدت أخرى ذات حدود محصنة بشكل أفضل.

استجابة مايكروسوفت كانت سريعة لكنها واقعية. الإصدارات المحدثة من React وNext.js تسد الثغرة، ويستفيد عملاء Defender من توسيع الاكتشافات للنشاطات المشبوهة في Node.js وPowerShell. توفر قواعد جدار حماية تطبيقات الويب في Azure درعًا مؤقتًا لأولئك الذين يسابقون الزمن لسد الثغرة. ومع ذلك، التوجيه واضح: راجع جميع الأصول المكشوفة، وطبق التحديثات فورًا، وراقب علامات الاختراق. مع سهولة الاستغلال وتأثيره الكبير، فإن الدفاعات المتعددة ورد الفعل السريع هما السبيل الوحيد للبقاء في المقدمة.

قصة React2Shell تذكير صارخ بأن حتى أكثر الأطر البرمجية موثوقية قد تحتوي على ثغرات مدمرة. وبينما تتسابق المؤسسات لسد الثغرة وتعزيز دفاعاتها، يقف الحادث كجرس إنذار تقني ودليل على إبداع المهاجمين المستمر. في عالم الويب المتغير باستمرار، اليقظة - والسرعة - أمران لا غنى عنهما.

ويكيكروك

• تنفيذ الأكواد عن بعد (RCE): تنفيذ الأكواد عن بعد هو عندما يشغل المهاجم كوده الخاص على نظام الضحية، وغالبًا ما يؤدي ذلك إلى السيطرة الكاملة أو اختراق النظام.
• بروتوكول Flight: بروتوكول Flight هو آلية في React Server Components لنقل البيانات بكفاءة بين العميل والخادم، مما يحسن الأداء ويقلل من حجم جافاسكريبت.
• بيئة Node.js: بيئة Node.js تنفذ جافاسكريبت على الخوادم، مما يتيح تطبيقات قابلة للتوسع وعرضًا من جهة الخادم لأطر مثل React، مع اعتبارات أمنية خاصة.
• نفق Cloudflare: نفق Cloudflare يعرض الخوادم المحلية بأمان للإنترنت باستخدام اتصالات صادرة فقط، متجاوزًا الجدران النارية ويقلل من سطح الهجوم.
• إثبات المفهوم: إثبات المفهوم هو عرض يوضح أن ثغرة أمنية يمكن استغلالها، مما يساعد على التحقق وتقييم المخاطر الحقيقية.