ليرة تركية؛دكتور:

  • CVE-2025-55182 هي ثغرات أمنية خطيرة في RCE غير مصادق عليها في بروتوكول “الرحلة” الخاص بمكونات خادم React Server (RSC).

  • التكوينات الافتراضية معرضة للخطر – تطبيق Next.js قياسي تم إنشاؤه باستخدام create-next-app ويمكن استغلالها ومصممة للإنتاج دون أي تغييرات في التعليمات البرمجية من قبل المطور.

  • يتطلب الاستغلال فقط طلب HTTP معدًا. لقد أنشأنا إثباتًا لمفهوم RCE يعمل بشكل كامل ونحتفظ به في الوقت الحالي، ولكن اختباراتنا أظهرت موثوقية قريبة من 100%. تحديث: مآثر RCE العامة متاحة الآن.

  • تحديث: وقد لوحظ الآن الاستغلال في البرية بواسطة Wiz Research وAmazon Threat Intelligence وDatadog وغيرهم.

  • تحديث: لاحظت شركة Wiz Research وجود محور ما بعد الاستغلال نحو حصاد بيانات الاعتماد السحابية و التعدين العملة المشفرة

  • الخلل ينبع من إلغاء التسلسل غير الآمن في منطق معالجة الحمولة النافعة لـ RSC، مما يسمح للبيانات التي يتحكم فيها المهاجم بالتأثير على التنفيذ من جانب الخادم.

  • مطلوب التصحيح الفوري. تتوفر إصدارات معززة لـ React وNext.js.

  • تظهر بيانات أبحاث Wiz 39% من البيئات السحابية تحتوي على حالات ضعيفة.


تم التعرف على ثغرة أمنية خطيرة في بروتوكول “Flight” الخاص بمكونات خادم React Server (RSC)، مما يؤثر على النظام البيئي React 19 والأطر التي تنفذه، وأبرزها Next.js. يسمح هذا الخلل، الذي تم تعيينه CVE-2025-55182، بتنفيذ تعليمات برمجية عن بعد غير مصادق عليها (RCE) على الخادم بسبب إلغاء التسلسل غير الآمن. توجد الثغرة الأمنية في التكوين الافتراضي للتطبيقات المتأثرة، مما يعني أن عمليات النشر القياسية معرضة للخطر على الفور. ونظرًا لخطورته العالية وسهولة استغلاله، يلزم إجراء ترقيع فوري.

للحفاظ على سلامة النظام البيئي أثناء تطبيق التصحيحات، نقوم حاليًا بحجب تفاصيل محددة؛ تهدف التفاصيل المقدمة هنا فقط إلى مساعدة المدافعين في تحديد أولويات العلاج وفهم المخاطر. للحصول على التحليل الفني الكامل للاستغلال، راجع مدونتنا المتعمقة.

تحديث: تم رفض CVE-2025-66478 كنسخة مكررة من CVE-2025-55182. وهذا أمر منطقي، لأن كلاهما لهما نفس السبب الجذري. ومع ذلك، هذا لا يعني أن اكتشافات CVE-2025-66478 هي نتائج إيجابية كاذبة؛ ويعني الرفض ببساطة أن CVE-2025-55182 يغطي كلتا الحالتين.

CVE-2025-55182 هي ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد (RCE) غير المصادق عليها في react-server الحزمة المستخدمة بواسطة React Server Components (RSC).

CVE-2025-66478 هي ثغرة RCE المقابلة في Next.js، والتي ترث نفس الخلل الأساسي من خلال تنفيذها لبروتوكول RSC “Flight”.

تكمن الثغرة الأمنية بشكل أساسي في حزمة خادم التفاعل وتعاملها مع بروتوكول RSC “Flight”. وتتميز بأنها ثغرة أمنية في إلغاء التسلسل المنطقي حيث يقوم الخادم بمعالجة حمولات RSC بطريقة غير آمنة. عندما يتلقى الخادم حمولة مشوهة معدة خصيصًا، فإنه يفشل في التحقق من صحة البنية بشكل صحيح. وهذا يسمح للبيانات التي يتحكم فيها المهاجم بالتأثير على منطق التنفيذ من جانب الخادم، مما يؤدي إلى تنفيذ كود JavaScript المميز.

في تجربتنا، كان استغلال هذه الثغرة الأمنية يتمتع بدقة عالية، مع معدل نجاح يقارب 100% ويمكن الاستفادة منه في تنفيذ التعليمات البرمجية عن بعد بشكل كامل. ناقل الهجوم غير مصادق عليه وبعيد، ولا يتطلب سوى طلب HTTP معد خصيصًا للخادم الهدف. إنه يؤثر على التكوين الافتراضي للأطر الشائعة.

تشير بيانات Wiz إلى أن 39% من البيئات السحابية تحتوي على مثيلات Next.js أو React في الإصدارات المعرضة لـ CVE-2025-55182. فيما يتعلق بـ Next.js، فإن إطار العمل نفسه موجود في 69% من البيئات. والجدير بالذكر أن 61% من هذه البيئات لديها تطبيقات عامة تعمل على تشغيل Next.js، مما يعني أن 44% من جميع البيئات السحابية قد كشفت بشكل عام عن مثيلات Next.js (بغض النظر عن الإصدار قيد التشغيل).

يتتبع Wiz الاستغلال المتوسع بسرعة لـ CVE-2025-55182 منذ أن أصبح الدليل الكامل لمفهوم الاستغلال علنيًا. حددت أجهزة الاستشعار لدينا العديد من الضحايا الذين تم اختراقهم بدءًا من 5 ديسمبر الساعة 6:00 صباحًا بالتوقيت العالمي المنسق، واستهدفوا في المقام الأول تطبيقات Next.js التي تواجه الإنترنت وحاويات Kubernetes. نحن نواصل البحث عن نشاط ما بعد الاستغلال ونتوقع أن يتم استخدام هذا الاستغلال من خلال الحملات المستهدفة والانتهازية. تؤكد رؤيتنا التقارير العامة من GreyNoise وغيرها حول التبني الكبير لهذه الثغرة الأمنية. للحصول على تحليل كامل لنشاط ما بعد الاستغلال وقائمة اللجنة الأولمبية الدولية، راجع مدونتنا المتعمقة.

  • لاحظ Wiz أن المهاجمين يقومون بإنشاء الأصداف لجمع بيانات الاعتماد من متغيرات البيئة وأنظمة الملفات والبيانات الوصفية للمثيلات السحابية. في إحدى البيئات المخترقة، حدد Wiz جهة فاعلة تحاول التعرف على بيانات اعتماد AWS ويقوم Base64 بتشفيرها، على الأرجح استعدادًا لعملية التسلل.

  • في بيئة سحابية منفصلة، ​​أعقب الاستغلال برنامج نصي يحاول تثبيت إطار عمل البرامج الضارة.

  • لقد حدد Wiz العديد من حملات التعدين المشفرة التي أثرت كل منها على العديد من العملاء. في الوقت الحالي، نحن على علم بستة حوادث على الأقل ونتوقع أن يتزايد هذا العدد.

  • أسقطت إحدى الحملات نسخة معبأة بـ UPX من عامل التشفير XMRig. أقرب ما اكتشفناه حدث في الساعة 6:00 صباحًا بالتوقيت العالمي المنسق في الخامس من ديسمبر

  • قامت حملة تعدين عملة مشفرة ثانية بتنزيل XMRig القياسي الذي تم إعداده من Github، مع تحديد مجموعة التعدين الخاصة بهم.

  • عام إعداد التقارير حددت شركة GreyNoise 95 عنوان IP تنفذ ما اعتبرته “محاولات استغلال انتهازية ومؤتمتة إلى حد كبير” بدءًا من الساعة 04:00 بالتوقيت العالمي المنسق في الخامس من ديسمبر.

  • أوس ذكرت أنهم حددوا العديد من مجموعات الترابط الصينية التي قامت بتجربة المحاولات العامة المبكرة لاستغلال التعليمات البرمجية في الرابع من ديسمبر، قبل إصدار إثبات المفهوم (PoC) الكامل. وبالنظر إلى هذا الاهتمام والتكتيكات الصينية السابقة، نتوقع أن تستخدم مجموعة واسعة من الجهات الفاعلة المرتبطة بالصين هذا الاستغلال في عمليات الاقتحام المستهدفة.

منتج ضعيف الافراج مصححة
رد فعل الخادم دوم * (19.0.x، 19.1.x، 19.2.x) 19.0.1، 19.1.2، و19.2.1
Next.js مع App Router (14.3.0-canary.77 والإصدارات الأحدث من Canary، 15.x و16.x) 14.x مستقر، 15.0.5، 15.1.9، 15.2.6، 15.3.6، 15.4.8، 15.5.7، 16.0.7

من المحتمل أن يتأثر أي إطار عمل أو مكتبة تقوم بتجميع تطبيق خادم التفاعل. وهذا يشمل، على سبيل المثال لا الحصر:

  • Next.js

  • فايت RSC البرنامج المساعد

  • البرنامج المساعد لا يتجزأ RSC

  • رد فعل معاينة جهاز التوجيه RSC

  • ريدوودSDK

  • واكو

ذكرت Google أن صور نظام التشغيل العامة التي توفرها Google Cloud for Compute Engine لا تتأثر افتراضيًا.

1. قم بترقية React والتبعيات إلى الإصدارات المعززة (انظر أعلاه). هذا هو التخفيف النهائي الوحيد.

2. إذا كنت تستخدم أطر عمل أخرى تدعم RSC (Redwood وWaku وما إلى ذلك)، فتحقق من قنواتهم الرسمية للحصول على تحديثات بخصوص إصدار خادم التفاعل المجمع وقم بالتحديث على الفور.

استخدم الاستعلامات المعدة مسبقًا والموجودة في النصائح الاستشارية لاكتشاف الحالات الضعيفة والأدلة على الأنشطة الضارة.

1. تحديد الهوية والرؤية

  • التحقق من صحة ASM: أضاف Wiz التحقق من إمكانية الاستغلال من خلال Wiz Attack Surface Management للتأكد من الخدمات القابلة للاستغلال بالفعل، استنادًا إلى استغلال Wiz بالإضافة إلى الخدمات العامة.

  • الرسم البياني الأمني:

    • تحديد الأجهزة الافتراضية أو الوظائف أو الحاويات الضعيفة المكشوفة علنًا.

    • اربط اكتشافات الثغرات الأمنية بدون وكيل مع اكتشافات التكنولوجيا التي تم التحقق من صحتها بواسطة ASM Scanner.

  • نتائج الضعف: قم بالتصفية للعثور على كافة مثيلات الثغرة الأمنية أو التركيز بشكل خاص على “المشكلات الحرجة”.

  • تحليل سبوم: استخدم استعلامات SBOM لجرد مثيلات Next.js وRSC عبر البيئة.

2. الوقاية والتكوين

3. الكشف والدفاع في وقت التشغيل

هل تشعر بالقلق من استهدافك من خلال CVE-2025-55182 أو CVE-2025-66478؟ تواصل مع فريق الاستجابة لحوادث Wiz للحصول على المساعدة.

شاركها.
اترك تعليقاً