روزها بعد از انتشار آسیبپذیری بحرانی React2Shell (با شناسه CVE-2025-55182)، هکرها به سرعت در حال بهرهبرداری از این نقص هستند. این آسیبپذیری امتیاز جدیتی ۱۰ را در سیستم رتبهبندی CVSS v3.1 دارد که بالاترین درجه ممکن است.
آمازون وب سرویسز (AWS) تأیید کرده است که گروههای تهدیدی از جمله Earth Lamia و Jackpot Panda، هر دو مرتبط با منافع دولتی چین، در میان عاملان حملات قرار دارند. گروه Earth Lamia بهطور تاریخی سازمانها را در آمریکای لاتین، خاورمیانه و جنوب شرق آسیا هدف قرار داده است. این گروه معمولاً خدمات مالی، لجستیک، خردهفروشی، شرکتهای فناوری اطلاعات، دانشگاهها و سازمانهای دولتی را مورد حمله قرار میدهد.
گروه Jackpot Panda نیز عمدتاً نهادهای واقع در شرق و جنوب شرقی آسیا را هدف قرار میدهد. نکته قابل توجه این است که اکنون چندین Proof of Concept (اثبات مفهوم) کاربردی برای CVE-2025-55182 وجود دارد.
تسریع در تبدیل PoCها به اکسپلویتهای عملیاتی نشان میدهد که چگونه عوامل مخرب پیشرفته هیچ فرصتی را برای سوءاستفاده از آسیبپذیریها هدر نمیدهند. بهطور همزمان، بنیاد Shadowserver Foundation بیش از 77000 آدرس IP آسیبپذیر را پس از اسکن سرویسهای HTTP در معرض دید بر روی انواع دستگاههای لبه و برنامههای دیگر شناسایی کرده است.
Censys گزارش داده که بیش از ۲.۱۵ میلیون نمونه از خدمات اینترنتنما ممکن است تحت تأثیر این آسیبپذیری قرار داشته باشند. این شامل سرویسهای وب در معرض دید با استفاده از React Server Components و نمونههایی از فریمورکهایی مانند Next.js، Waku، React Router و RedwoodSDK میشود.
این نقص یک Remote Code Execution (اجرای کد از راه دور) پیش از احراز هویت است که در نسخههای 19.0.0، 19.1.0، 19.1.1 و 19.2.0 از React Server Components وجود دارد. رِئَکت در تاریخ ۳ دسامبر یک مشاوره امنیتی با وصلهها و بهروزرسانیهای مربوطه منتشر کرد.
تا زمانی که بهروزرسانی نشود، هر سرور اینترنتدسترسی که کد React Server Components آسیبپذیر را اجرا میکند باید در معرض خطر تلقی شود. به گفته محققان امنیتی، این یک اقدام احتیاطی است.
در کنار تأثیرات ناشی از سوءاستفاده احتمالی مخرب، رفع این نقص میتواند عواقب نامطلوبی نیز به همراه داشته باشد. برای مثال، در ۵ دسامبر ۲۰۲۵، خرابیهای قابل توجهی در شبکه Cloudflare رخ داد. ارائهدهنده شبکه اینترنت اکنون تأیید کرده است که این حادثه ناشی از تغییراتی در منطق تجزیه بدن بود که هنگام تلاش برای شناسایی و کاهش آسیبپذیری React2Shell اعمال میشد.
تحقیقات AWS نشان داد که هکرها از هم ابزارهای اسکن خودکار و هم اکسپلویتهای PoC تکی استفاده میکنند. برخی از این بازیگران در حال نظارت بر انتشار CVEهای جدید هستند و به سرعت اکسپلویتهای عمومی را به زیرساختهای اسکن خود اضافه میکنند.
با این حال، AWS مشاهده کرده است که بسیاری از هکرها سعی میکنند از PoCهای عمومی استفاده کنند که در سناریوهای دنیای واقعی کار نمیکنند. شرکت امنیتی JFrog نیز هشدار داده است که اکسپلویتهای جعلی PoC در GitHub وجود دارند و برخی از پروژههای اینچنینی اغلب حاوی کد مخرب هستند.
بسیاری از PoCهای عمومی دارای نادرستیهای فنی هستند، اما هکرها همچنان سعی میکنند از آنها استفاده کنند. AWS میگوید که استفاده از این PoCها نشان میدهد عوامل تهدید اولویت را به بهرهبرداری عملیاتی سریع میدهند تا آزمایش کامل و دقیق.
استفاده از چندین PoC برای اسکن محیطهای آسیبپذیر، شانس بیشتری را در شناسایی پیکربندیهای آسیبپذیر فراهم میکند، حتی اگر PoCها غیرکارآمد باشند. در دسترس بودن این PoCها همچنین به بازیگران کمتجربه اجازه میدهد تا در کمپینهای بهرهبرداری شرکت کنند. علاوه بر این، AWS خاطرنشان کرده است که حتی تلاشهای ناموفق برای بهرهبرداری میتوانند نویز قابل توجهی را در گزارشها ایجاد کرده و حملات پیچیدهتر را پنهان کنند.
PoCهای نامعتبر میتوانند توسعهدهندگان را به یک حس امنیت کاذب هنگام آزمایش React2Shell برساند. در یک مخزن اختصاص داده شده به React2Shell، لاچلان دیویدسون، محقق امنیتی که این آسیبپذیری را کشف کرد، نوشت: «بسیاری از این PoCها در انتشارات مختلف ارجاع داده شدهاند و حتی برخی از جمعآوریکنندههای آسیبپذیری نیز به آنها اشاره کردهاند. ما نگران هستیم که این موضوع ممکن است منجر به نتایج منفی کاذب در هنگام ارزیابی آسیبپذیری یک سرویس شود یا باعث عدم آمادگی در صورت ظهور PoC واقعی گردد.»
📌 توجه: این مطلب از منابع بینالمللی ترجمه و بازنویسی شده است.