خانه » مهاجمان با ابزار جدید ILovePoop به دنبال سوءاستفاده از آسیب‌پذیری React2Shell هستند
آسیب پذیری و وصله‌های امنیتیاخبار سایبری

مهاجمان با ابزار جدید ILovePoop به دنبال سوءاستفاده از آسیب‌پذیری React2Shell هستند

توسط Vulnerbyte_News
نوشته شده توسط Vulnerbyte_News 125 بازدید
آسیب‌پذیری React2Shell

داده‌های جدید نشان می‌دهد یک گروه تهدید پیشرفته و احتمالاً با حمایت دولتی، در حال زمینه‌سازی برای اجرای حملات گسترده علیه صنایع حیاتی است.

به گفته پژوهشگران، این عامل تهدید سایبری با استفاده از ابزار(toolkit)  پیشرفته و بحث‌برانگیز ILovePoop، ده‌ها میلیون آدرس IP را برای شناسایی سامانه‌های آسیب‌پذیر به React2Shell (CVE-2025-55182) اسکن کرده است.

آسیب‌پذیری React2Shell، یک نقص بحرانی اجرای کد از راه دور (RCE) در کامپوننت‌های React Server محسوب می‌شود که حتی با یک درخواست وب و گاهی بدون نیاز به احراز هویت قابل سوءاستفاده است. شدت این آسیب‌پذیری در CVSS برابر 10/10 اعلام شده است.

بر اساس گزارش شرکت WhoisXML API، این عملیات اسکن و شناسایی عمدتاً روی سازمان‌های دولتی، دفاعی، مالی و صنعتی به‌ویژه در ایالات متحده تمرکز داشته است. این الگو نشان‌دهنده سناریویی مشابه شکار اهداف بزرگ (Big Game Hunting) است، جایی که مهاجمان پیش از حمله، شبکه‌ها و زیرساخت‌های حیاتی را شناسایی می‌کنند.

تکامل تهدید React2Shell

به گفته آنا فام، تحلیلگر ارشد Huntress:

«در موج اولیه، بهره‌برداری‌ها عمدتاً فرصت‌طلبانه و خودکار بود؛ کمپین‌های گسترده‌ای که برای انتشار کریپتوماینرها و بات‌نت‌ها طراحی شده بودند. حتی مشاهده شد که مهاجمان پیلودهای مخصوص لینوکس را روی سیستم‌های ویندوز اجرا می‌کردند که نشان می‌دهد اتوماسیون حملات، حتی تفاوت بین سیستم‌عامل‌ها را در نظر نمی‌گرفت.»

اکنون، تهدیدات پیچیده‌تر و هدفمندتر شده‌اند؛ مهاجمان با برنامه‌ریزی دقیق‌تر و شناسایی دقیق شبکه‌های آسیب‌پذیر، مراحل بعدی بهره‌برداری را طراحی می‌کنند.

حملات پیچیده‌تر و ماندگارتر

به گفته فام:

  • هنوز ده‌ها هزار نمونه آسیب‌پذیر React2Shell در اینترنت فعال هستند.
  • بات‌نت‌های جدید این آسیب‌پذیری را به مجموعه ابزارهای مخرب خود اضافه کرده‌اند.
  • بهره‌برداری از React2Shell حتی در کمپین‌های باج‌افزاری نیز مشاهده شده است.
  • در برخی موارد، گروه PeerBlight از شبکه BitTorrent DHT به‌عنوان کانال C2 جایگزین و مقاوم استفاده کرده است؛ تکنیکی که برای پایداری در برابر توقیف دامنه‌ها طراحی شده است.

React2Shell چیست و چرا بحرانی است؟

  • شناسه آسیب‌پذیری: CVE-2025-55182
  • تاریخ افشا: 3 دسامبر 2025
  • نوع آسیب‌پذیری: RCE در کامپوننت‌‌هایReact Server
  • شدت: 10/10 CVSS

آسیب‌پذیری React2Shell مشابه Log4Shell، فرصت گسترده‌ و قابل‌توجهی برای مهاجمان ایجاد می‌کند. تنها چند ساعت پس از افشای عمومی، گروه‌های سایبری وابسته به دولت چین شروع به بهره‌برداری کردند و پس از آن، عوامل سایبری مشکوک از ایران و کره شمالی نیز وارد عمل شدند.

شکار اهداف ارزشمند با بهره‌برداری از React2Shell؛ از NASA تا JPMorgan

طبق داده‌های WhoisXML API، بیش از 37 هزار شبکه توسط مهاجمان مورد شناسایی قرار گرفته‌اند، از جمله:

  • مراکز ناسا (NASA)
  • زیرساخت‌های وزارت دفاع و DISA آمریکا
  • دولت‌های ایالتی ورمونت و کارولینای شمالی (Vermont & North Carolina)
  • شهرهای فونیکس، بوستون و سن‌دیگو (Phoenix, Boston, San Diego)
  • مؤسسات مالی شامل بانک نیویورک ملون (Bank of New York Mellon)، گلدمن ساکس (Goldman Sachs)، جی‌پی مورگان چیس (JPMorgan Chase)
  • شرکت‌های بزرگ شامل سیلزفورس (Salesforce)، نتفلیکس (Netflix)، ویزا (Visa)، پی‌پال (PayPal)، دیزنی (Disney)

برخی از شبکه‌ها حدود 45 روز پیش از حمله واقعی شناسایی شدند که نمونه‌ای از استراتژی Big Game Hunting و هدف‌گیری دقیق شبکه‌های حیاتی محسوب می‌شود.

چرا وصله‌کردن React2Shell دشوار است؟

مشکل وابستگی در Next.js

به گفته آنا فام، فریم‏ورک Next.js، React را به صورت یک بسته vendored ارائه می‌کند و نه یک وابستگی استاندارد (Standard Dependency). در نتیجه، بسیاری از ابزارهای اسکن وابستگی قادر به شناسایی خودکار CVE-2025-55182 نیستند و سازمان‌ها ممکن است بدون بررسی دقیق، آسیب‌پذیری واقعی React2Shell را نادیده بگیرند.

چالش‌های محیط‌های مدرن استقرار

رفع این آسیب‌پذیری در محیط‌های مدرن به دلایل زیر دشوار است:

  • اجرای برنامه‌ها در محیط‌های کانتینری و زیرساخت‌های ابری پیچیده که شامل چندین نمونه و خطوط تولید (Build Pipelines) هستند.
  • وجود ابزارهای داخلی و استقرارهای Shadow IT که خارج از مدیریت رسمی سازمان فعالیت می‌کنند.
  • برنامه‌های قدیمی مبتنی بر Next.js که دیگر پشتیبانی فعال دریافت نمی‌کنند اما هنوز به اینترنت متصل هستند و در معرض تهدید قرار دارند.
  • سرورهای تست و محیط‌های staging که فراموش شده‌اند و بررسی منظمی روی آن‌ها انجام نمی‌شود.

علاوه بر این، در روزهای ابتدایی پس از افشای React2Shell، PoCهای جعلی و غیرعملی منتشر شدند که باعث ایجاد سردرگمی و دست‌کم گرفتن شدت واقعی تهدید توسط برخی تیم‌های امنیتی شد. در واقع، اکسپلویت واقعی به‌سادگی قابل اجرا است و نیاز به هیچ احراز هویتی ندارد.

جمع‌بندی تهدید

به گفته آنا فام:

«آسیب‌پذیری React2Shell اکنون به ابزاری ثابت در برنامه عملیاتی چندین گروه تهدید تبدیل شده است و انتظار نمی‌رود به این زودی روند بهره‌برداری از آن کاهش یابد.»

منابع

https://www.darkreading.com/application-security/attackers-new-tool-scan-react2shell-exposure

همچنین ممکن است دوست داشته باشید

عامل هوش مصنوعی OpenClaw قربانی حمله فیشینگ شد...

کمپین Atomic Arch با ربودن بیش از 20...

بدافزار AsyncRAT در پوشش راهنمای جعلی Claude Code...

مهاجمان سایبری از تیک‌تاک و ریلزهای اینستاگرام برای...

4 مورد از تهدیدات سایبری بحرانی که مهاجمان...

آسیب‌پذیری Langflow امکان اجرای کد از راه دور...

آسیب‌پذیری Splunk Enterprise با شدت بحرانی امکان اجرای...

آنتروپیک در راستای تبعیت از کنترل صادرات هوش...

گروه‌های همسو با روسیه با سوءاستفاده از آسیب‌پذیری...

انتشار اکسپلویت روز صفر جدید ویندوز با نام...

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.