هجوم React2Shell يهدد خوادم NGINX: تفاصيل الثغرة الخطيرة

كشف باحثون في مجال الأمن السيبراني عن حملة نشطة لاختراق حركة مرور الويب تستهدف خوادم NGINX ولوحات إدارة Baota، حيث يتم توجيه البيانات عبر بنية تحتية يسيطر عليها المهاجمون. يتابع فريق تيكبامين هذه التطورات المقلقة التي تهدد سلامة المواقع والبيانات الحساسة.

ما هي تفاصيل ثغرة React2Shell الجديدة؟

أكدت مختبرات Datadog Security أن الجهات الفاعلة في التهديد تستغل ثغرة React2Shell المكتشفة حديثاً (CVE-2025-55182)، والتي حصلت على درجة خطورة قصوى تبلغ 10.0. يعتمد الهجوم على استخدام تكوينات NGINX ضارة لتنفيذ عملية الاختراق والسيطرة على حركة المرور.

وأوضح الباحث الأمني رايان سيمون أن التكوين الضار يعترض حركة المرور الشرعية بين المستخدمين والمواقع، ثم يعيد توجيهها عبر خوادم خلفية يتحكم فيها المهاجمون، مما يعرض بيانات المستخدمين لخطر السرقة والتلاعب.

كيف يتم تنفيذ الهجوم على الخوادم؟

تتضمن العملية استخدام نصوص برمجية (Shell Scripts) لحقن تكوينات خبيثة داخل NGINX، وهو برنامج مفتوح المصدر يستخدم كوكيل عكسي وموازن للأحمال. تم تصميم هذه التكوينات، وتحديداً توجيهات "Location"، لالتقاط الطلبات الواردة على مسارات URL محددة وإعادة توجيهها.

• اعتراض الطلبات الواردة لمسارات محددة مسبقاً.
• إعادة توجيه الحركة إلى نطاقات المهاجمين.
• استخدام توجيه "proxy_pass" لتمرير البيانات للخوادم الخبيثة.

من هم المستهدفون في هذه الحملة؟

وفقاً للتقارير التي اطلع عليها تيكبامين، تركز الحملة بشكل أساسي على أهداف محددة تشمل البنية التحتية للاستضافة الصينية والنطاقات الحكومية والتعليمية.

أبرز الأهداف المرصودة:

• نطاقات الدول الآسيوية مثل (.in, .id, .pe, .bd, .th).
• البنية التحتية للاستضافة الصينية (لوحة Baota).
• النطاقات الحكومية (.gov) والتعليمية (.edu).

ما هي أدوات الاختراق المستخدمة؟

أشارت التقارير إلى أن النصوص البرمجية المستخدمة هي جزء من مجموعة أدوات متعددة المراحل، تهدف إلى ضمان استمرار الوصول وإنشاء ملفات تكوين ضارة.

وكشفت GreyNoise أن عنواني IP فقط (193.142.147.209 و 87.121.84.24) كانا مسؤولين عن 56% من محاولات الاستغلال المرصودة، وذلك بعد شهرين من الكشف العلني عن ثغرة React2Shell.

أغراض الهجوم الرئيسية:

• تثبيت برمجيات تعدين العملات الرقمية.
• فتح قنوات اتصال عكسية (Reverse Shells) للتحكم المباشر.
• الحصول على وصول تفاعلي بدلاً من مجرد استخراج الموارد آلياً.

يأتي هذا الكشف تزامناً مع رصد حملة استطلاع منسقة تستهدف البنية التحتية لـ Citrix ADC Gateway، مما يشير إلى تصاعد نشاط المجموعات السيبرانية التي تستخدم تقنيات متطورة لاكتشاف لوحات تسجيل الدخول واختراق الشبكات المؤسسية.