كشف باحثون أمنيون عن حملة استمرت تسعة أشهر استهدفت أجهزة إنترنت الأشياء والخوادم لتجنيدها في شبكة RondoDox الخبيثة، مستغلة ثغرة React2Shell الحرجة للوصول غير المصرح.
ما هي ثغرة React2Shell الأمنية؟
React2Shell هي ثغرة أمنية حرجة في React Server Components ومنصة Next.js تحمل الرمز CVE-2025-55182 بدرجة خطورة قصوى 10.0 على مقياس CVSS. تتيح هذه الثغرة للمهاجمين غير المصرح لهم تنفيذ أكواد عن بُعد على الأجهزة المعرضة.
وفقاً لإحصائيات Shadowserver Foundation حتى 31 ديسمبر 2025، تبقى حوالي 90,300 خادم معرضة للثغرة موزعة كالتالي:
- الولايات المتحدة: 68,400 خادم
- ألمانيا: 4,300 خادم
- فرنسا: 2,800 خادم
- الهند: 1,500 خادم
كيف تعمل شبكة RondoDox الخبيثة؟
بدأت شبكة RondoDox نشاطها في أوائل 2025 ووسعت نطاقها بإضافة ثغرات جديدة إلى ترسانتها، بما في ذلك CVE-2023-1389 وCVE-2025-24893. حسب تقرير CloudSEK، مرت الحملة بثلاث مراحل متميزة قبل استغلال ثغرة React2Shell.
في هجمات ديسمبر 2025، اتبع المهاجمون استراتيجية محددة تشمل:
- فحص خوادم Next.js الضعيفة
- نشر برامج تعدين العملات المشفرة ("/nuts/poop")
- تحميل أداة فحص الشبكة ("/nuts/bolts")
- زرع نسخة من Mirai botnet ("/nuts/x86")
ما آلية عمل الأداة الخبيثة "/nuts/bolts"؟
تم تصميم هذه الأداة لإنهاء البرمجيات الخبيثة المنافسة وبرامج التعدين قبل تنزيل الملف التنفيذي الرئيسي من خادم C2. تقوم النسخة المتقدمة بإزالة الشبكات الخبيثة المعروفة وحاويات Docker والملفات المتبقية من حملات سابقة.
كما أوضح تيكبامين، تفحص الأداة باستمرار مجلد /proc لتعداد الملفات التنفيذية وتقتل العمليات غير المدرجة في القائمة البيضاء كل 45 ثانية، مما يمنع إعادة الإصابة من قبل جهات تهديد منافسة.
كيف تحمي أنظمتك من هذا التهديد؟
توصي الجهات الأمنية المؤسسات باتخاذ الإجراءات التالية فوراً:
- تحديث Next.js إلى النسخة المصححة فوراً
- عزل جميع أجهزة IoT في شبكات VLAN مخصصة
- نشر جدران حماية تطبيقات الويب (WAF)
- مراقبة تنفيذ العمليات المشبوهة
- حظر البنية التحتية لخوادم C2 المعروفة
الخلاصة
تمثل حملة RondoDox تهديداً متطوراً يستغل الثغرات الحرجة في تقنيات الويب الحديثة. مع استمرار وجود عشرات الآلاف من الخوادم المعرضة عالمياً، يصبح التحديث الفوري والتدابير الأمنية الاستباقية ضرورة حتمية لحماية البنية التحتية الرقمية.
