فرصت کوتاه نهادهای فدرال برای وصله‌کردن آسیب‌پذیری ری اکت2شل

به گزارش کارگروه امنیت خبرگزاری سایبربان، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) اواخر هفته گذشته آسیب‌پذیری CVE-2025-55182 که یک ابزار متن‌باز محبوبِ تعبیه‌شده در هزاران محصول دیجیتال پرکاربرد را تحت تأثیر قرار می‌دهد را به فهرست «آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری» خود افزود و به نهادهای فدرال تا تاریخ ۲۶ دسامبر برای رفع آن مهلت داد.

این تاریخ اکنون به روز جمعه رسیده بود.

سخنگوی آژانس تغییر تاریخ را تأیید کرد و افزود که آژانس از نهادهای فدرال خواسته است پس از اعمال اقدامات کاهشی، تمامی نمونه‌های ری اکت (REACT) در دسترس از طریق اینترنت را از نظر نشانه‌های احتمالی نفوذ بررسی کنند.

مهلت‌های وصله‌گذاری آژانس امنیت سایبری و امنیت زیرساخت اغلب شاخصی از شدت یک باگ برای کل صنعت به‌شمار می‌روند.

ری اکت2شل (React2Shell) اجزای سمت سرور ری اکت (React Server Components) را تحت تأثیر قرار می‌دهد؛ ابزاری که در ابتدا برای فیس‌بوک ایجاد شد و اکنون در ۵۰ میلیون وب‌سایت و محصول ساخته‌شده توسط شمار زیادی از شرکت‌های بزرگ تعبیه شده است.

از سوم دسامبر، به دلیل استفاده گسترده از اجزای سمت سرور ری اکت، مدافعان امنیت سایبری برای وصله‌کردن CVE-2025-55182 به تکاپو افتاده‌اند.

در طول هفته گذشته، مدافعان شاهد بهره‌برداری از این باگ توسط هکرهای وابسته به دولت‌های چین و کره شمالی، در کنار مجموعه‌ای از گروه‌های مجرم سایبری بوده‌اند.

واحد ۴۲ شرکت پالو آلتو نتوورکس (Palo Alto Networks) شامگاه چهارشنبه یک هشدار جدید منتشر کرد که نشان می‌دهد بیش از ۵۰ سازمان تحت تأثیر نفوذهایی قرار گرفته‌اند که منشأ آن‌ها CVE-2025-55182 بوده است.

سازمان‌های آسیب‌دیده در ایالات متحده، و همچنین در آسیا، آمریکای جنوبی و خاورمیانه قرار دارند.

هکرها مؤسسات خدمات مالی، آموزش عالی، صنعت فناوری، همه سطوح دولتی و سازمان‌های رسانه‌ای را هدف قرار داده‌اند.

واحد 42 افزود که علاوه بر بدافزارهای شناسایی‌شده پیشینِ منتسب به چین مانند اسنولایت (Snowlight) و وی شل (Vshell)، اکنون شاهد استفاده از بدافزارهای دیگری از جمله نودلررت (NoodlerRat)، ایکس ام ریگ (XMRIG)، بی پی اف دور (BPFDoor)، اوتوکالر (Autocolor)، میرای (Mirai) و سوپرشل (Supershell) نیز هستند.

جاستین مور، مقام ارشد واحد 42، به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) گفت که پژوهشگران مواردی را تأیید کرده‌اند که در آن‌ها مهاجمان با استفاده از CVE-2025-55182 به شبکه‌ها نفوذ کرده‌اند.

او عنوان کرد:

ما هدف‌گیری فرصت‌طلبانه و اسکریپت‌های خودکاری را برای نصب استخراج‌کننده‌های رمزارز و بات‌نت‌ها، هدف قرار دادن کلیدهای پیکربندی AWS، و همچنین نصب هدفمندِ چندین درِ پشتی قدرتمند که پیش‌تر با عوامل وابسته به دولت‌ها مرتبط بوده‌اند، مشاهده کرده‌ایم.

واحد 42 همچنین گزارش پیشین شرکت امنیت سایبری سیسدیگ (Sysdig) را تأیید کرد که نشان می‌داد هکرهای کره شمالی از این باگ برای تحویل بدافزار و تسهیل سرقت رمزارز استفاده می‌کنند.

این واحد افزود که مشاهده کرده برخی هکرها از این آسیب‌پذیری با استفاده از بی پی اف دور بهره‌برداری می‌کنند؛ یک درِ پشتی لینوکسی که به یک گروه تهدید وابسته به چین با نام رد منشن (Red Menshen) نسبت داده می‌شود.

این گروه پیش‌تر به هدف قرار دادن بخش‌های مخابرات، مالی و خرده‌فروشی متهم شده بود و حملات آن در کره جنوبی، هنگ‌کنگ، میانمار، مالزی و مصر مشاهده شده است.

واحد 42 چندین درِ پشتی و گونه دیگر بدافزار مورد استفاده در این حملات را نیز ردیابی کرده است.

سایر تیم‌های پاسخ‌گویی به رخدادها اعلام کرده‌اند که اکنون شاهد سوءاستفاده‌های فرصت‌طلبانه با مهارت پایین از این آسیب‌پذیری در بخش‌های مختلف هستند.

کریستیان بیک، مدیر ارشد اطلاعات تهدید در رپید7 (Rapid7)، اذعان داشت که این شرکت شاهد استقرار استخراج‌کننده‌های رمزارز و بات‌نت میرای از طریق بهره‌برداری از این باگ است.

او افزود که نشانه‌هایی وجود دارد که بهره‌برداری از این آسیب‌پذیری را به ابزارهایی مرتبط می‌کند که پیش‌تر توسط گروه‌های باج‌افزاری استفاده شده‌اند.

پژوهشگران شرکت سایکاگنیتو (CyCognito) داده‌هایی را به اشتراک گذاشتند که نشان می‌دهد سازمان‌های رسانه‌ای به‌طور نامتناسبی دارایی‌های بیرونیِ در معرض اینترنت دارند که از اجزای سمت سرور ری اکت آسیب‌پذیرِ تحت تأثیر CVE-2025-55182 استفاده می‌کنند.

این شرکت اعلام کرد که خبرگزاری‌ها، شبکه‌های تلویزیونی پخش زمینی، شرکت‌های کابلی و ماهواره‌ای و دیگر نهادهای رسانه‌ای در معرض خطر بوده‌اند؛ احتمالاً به این دلیل که بیشتر سازمان‌های رسانه‌ای از ری اکت در پشته‌های فرانت‌اند خود استفاده می‌کنند.

این شرکت به خبرگزاری ریکوردد فیوچر نیوز گفت:

آن‌ها به‌شدت به چارچوب‌های رندر سمت سرور مانند Next.js متکی هستند تا نقاط ورودی عمومی مانند صفحه‌های اصلی، صفحات مقاله و ویدئو، بخش‌بندی‌ها، نتایج جست‌وجو و میکروسایت‌های تبلیغاتی را اجرا کنند. در بسیاری از این برنامه‌ها، اجزای سمت سرور ری اکت برای واکشی داده در سمت سرور، ترکیب چیدمان و به‌روزرسانی‌های جزئیِ جریانیِ صفحه استفاده می‌شوند. این امر باعث می‌شود بسته‌های آسیب‌پذیر react-server-dom-* مستقیماً در مسیر درخواست دارایی‌های وبِ در معرض قرار گیرند.

این شرکت همچنین اعلام کرد که صنایع تولیدی، فناوری و مهمان‌نوازی نیز در معرض قابل‌توجهی نسبت به CVE-2025-55182 قرار دارند.