سرویسهای گسترده کلودفلر (Cloudflare)، یکی از زیرساختهای حیاتی اینترنت و ارائهدهنده راهکارهای امنیت و شبکه برای میلیونها وبسایت در سراسر جهان، روز جمعه با یک قطعی قابل توجه مواجه شدند. این حادثه که منجر به از دسترس خارج شدن وبسایتهای متعددی در سطح جهانی شد و حدود ۲۸ درصد از ترافیک HTTP سرویسدهی شده توسط کلودفلر را تحت تاثیر قرار داد، به دلیل یک تلاش ناموفق برای رفع آسیبپذیری بحرانی React2Shell در کتابخانه جاوااسکریپت React رخ داده است. این رویداد بار دیگر پیچیدگیها و چالشهای مدیریت امنیت در عصر دیجیتال و وابستگی فزاینده به نرمافزارهای متنباز را نمایان ساخت.
جزئیات قطعی کلودفلر: وقتی راهحل خود عامل مشکل میشود
در پی این اختلال گسترده، دین کنیچت (Dane Knecht)، مدیر ارشد فناوری کلودفلر، در یک پست وبلاگی رسمی توضیح داد که قطعی جمعه نه ناشی از یک حمله سایبری مستقیم به سیستمهای این شرکت بوده و نه به دلیل فعالیتهای مخرب. به گفته او، این حادثه «در اثر تغییرات اعمالشده بر منطق تجزیه بدنه (body parsing logic) شبکه، در حین تلاش برای شناسایی و کاهش آسیبپذیری React2Shell کشفشده در React Server Components» رخ داده است. کلودفلر که به عنوان یک شبکه تحویل محتوا (CDN)، محافظت در برابر حملات دیداس (DDoS) و واسط امنیتی برای وبسایتها عمل میکند، با این خطای فنی، به طور ناخواسته خود عامل اختلال در دسترسپذیری بخش وسیعی از اینترنت شد.
آسیبپذیری React2Shell: حفره امنیتی با امتیاز CVSS 10.0 که جهان را به چالش کشید
ریشه اصلی این حادثه به یک آسیبپذیری React2Shell با شناسه CVE-2025-55182 بازمیگردد که با امتیاز کامل 10.0 در سیستم ارزیابی آسیبپذیری مشترک (CVSS) رتبهبندی شده است. این امتیاز نشاندهنده حداکثر شدت و سهولت بهرهبرداری از این نقص امنیتی است. محقق امنیتی، لاچلان دیویدسون، که این باگ را کشف و گزارش کرده، نام React2Shell را برای آن انتخاب کرده است. این نقص یک آسیبپذیری "عدم سریالسازی امن" (insecure deserialization) است؛ به این معنی که یک برنامه بدون اعتبارسنجی کافی، دادههای غیرقابل اعتماد را پردازش میکند و میتواند به مهاجمان از راه دور و بدون نیاز به احراز هویت، امکان اجرای کد مخرب را بر روی سیستمهای آسیبپذیر بدهد. این آسیبپذیری نه تنها کتابخانه اصلی React را تحت تاثیر قرار میدهد، بلکه فریمورکهای توسعه وب و باندلرها، از جمله Next.js، را نیز درگیر میکند.
تب و تاب بهرهبرداری از آسیبپذیری React2Shell: از هشدار نهادهای دولتی تا هکرهای چینی
با وجود تلاش کلودفلر برای رفع این مشکل، انتشار عمومی جزئیات مربوط به آسیبپذیری React2Shell بلافاصله منجر به موجی از فعالیتهای بهرهبرداری شد.
در عرض چند ساعت پس از افشا، گزارشهایی از حملات فعال علیه این حفره امنیتی منتشر شد.
دولت بریتانیا هشدار داد که CVE-2025-55182 در حال بهرهبرداری فعال است و آژانس امنیت سایبری و زیرساختی ایالات متحده (CISA) نیز آن را به کاتالوگ آسیبپذیریهای شناختهشده و در حال بهرهبرداری خود اضافه کرد.
آمازون گزارش داد که گروههای تحت حمایت دولت چین، از جمله "Earth Lamia" و "Jackpot Panda"، ظرف چند ساعت پس از افشا، شروع به سوءاستفاده از این آسیبپذیری کردهاند.
Justin Moore، مدیر ارشد تحقیقات اطلاعات تهدید در Unit 42 از شرکت Palo Alto Networks، نیز فعالیتهای مشابهی را تایید کرده است:
پالایش برای RCEهای آسیبپذیر
فعالیتهای شناسایی و جمعآوری اطلاعات
تلاش برای سرقت فایلهای پیکربندی و اعتبارسنجی AWS
نصب دانلودرها برای دریافت بار داده از زیرساختهای فرماندهی و کنترل مهاجمان
همچنین، شرکت امنیتی Bitdefender پیشبینی کرده که گروههای باجافزار به عنوان سرویس (RaaS) و کارگزاران دسترسی اولیه (IABs) به سرعت این نقص را مسلح خواهند کرد. در حالی که نمونههای اثباتگر مفهوم (PoC) فعال پس از حدود ۳۰ ساعت از افشای باگ در دسترس قرار گرفتند، انتشار PoCهای جعلی نیز به سردرگمی و عدم اطمینان در جامعه امنیتی دامن زده است.
چالشهای افشای مسئولانه و درسهایی از آسیبپذیری React2Shell در اکوسیستم متنباز
این رویداد، بحث پیرامون فرآیند افشای مسئولانه (responsible disclosure) آسیبپذیریها را در جامعه امنیتی دوباره زنده کرد. پاسکال گیننز (Pascal Geenens)، معاون اطلاعات تهدید در Radware، معتقد است که جامعه امنیتی باید در روند افشای اطلاعات بازنگری کند. او اشاره کرد که با توجه به ماهیت متنباز کد، اطلاعات مربوط به تغییرات کد برای رفع آسیبپذیری به سرعت در دسترس همگان قرار میگیرد و این امر به مهاجمان دولتی یا سازمانیافته با منابع بالا، امکان میدهد تا حتی با اطلاعات محدود، به سرعت اکسپلویتهای خود را توسعه دهند.
گیننز تاکید میکند که عدم اشتراکگذاری کامل و سریع جزئیات دقیقتر آسیبپذیری با ارائهدهندگان راهحلهای امنیتی، میتواند به نفع مهاجمان تمام شود. اطلاعات محدود و در برخی موارد نادرست، ممکن است به سازمانها حس امنیت کاذب بدهد یا منجر به پیادهسازی راهکارهای حفاظتی ناکارآمد شود. این حادثه نه تنها بر اهمیت پچ کردن فوری آسیبپذیریهای بحرانی تاکید میکند، بلکه چالشهای ذاتی امنیت در دنیایی که به شدت به نرمافزارهای متنباز وابسته است و سرعت بالای واکنش مهاجمان را به رخ میکشد، برجسته میسازد.
مطالب مرتبط
- حمله نوین کلیکجکینگ با بهرهگیری از SVG و CSS مرزهای امنیتی مرورگرها را به چالش میکشد
- FBI هشدار داد: مجرمان سایبری با استفاده از تصاویر شبکههای اجتماعی، کلاهبرداریهای آدمربایی مجازی را افزایش دادهاند
- حملات سایبری چین؛ نفوذ گسترده و طولانیمدت به زیرساختهای حیاتی آمریکا و کانادا
- FBI هشدار داد: مجرمان سایبری با استفاده از تصاویر شبکههای اجتماعی، کلاهبرداریهای آدمربایی مجازی را افزایش دادهاند
