کشف آسیب‌پذیری بحرانی React4Shell؛ میلیون‌ها سرور در خطر اجرای کد از راه دور

روابط عمومی شرکت ایدکو (توزیع‌کننده محصولات کسپرسکی در ایران) اعلام کرد که یک آسیب‌پذیری بسیار خطرناک با شناسه CVE-2025-55182 و امتیاز امنیتی ۱۰ (از ۱۰) شناسایی و برطرف شده است. این نقص امنیتی که React4Shell نام‌گذاری شده، مؤلفه‌های سمت سرور ری‌اکت و فریم‌ورک‌های وابسته به آن مانند نکست‌جی‌اس را هدف قرار می‌دهد و میلیون‌ها سرور وب را در معرض خطر جدی اجرای کد از راه دور (RCE) قرار می‌دهد. این آسیب‌پذیری به مهاجمان بدون احراز هویت اجازه می‌دهد تنها با ارسال یک درخواست HTTP، کد دلخواه خود را روی سرورهای آسیب‌پذیر اجرا کنند که تهدیدی بی‌سابقه برای امنیت سرور به شمار می‌رود.

React4Shell چیست و چگونه امنیت سرور را به خطر می‌اندازد؟

ری‌اکت (React) یک کتابخانه محبوب جاوااسکریپتی است که برای ساخت رابط کاربری برنامه‌های وب به کار می‌رود. مؤلفه‌های سمت سرور ری‌اکت، که از سال ۲۰۲۰ با نسخه ۱۸ معرفی شدند، به منظور بهبود عملکرد وب‌سایت‌ها و کاهش بار روی مرورگر کاربر، بخشی از فرآیند رندر صفحه را روی سرور انجام می‌دهند. این مؤلفه‌ها از پروتکلی سبک به نام "فلایت" (Flight) برای انتقال سریع داده‌های سریال‌سازی‌شده بین سرور و کاربر استفاده می‌کنند.

آسیب‌پذیری React4Shell (CVE-2025-55182) دقیقاً در پردازش درخواست‌های فلایت قرار دارد. به عبارت دیگر، فرایند بازسازی داده‌ها از جریان‌های ورودی به شیوه ناایمنی انجام می‌شود و این مسئله راه را برای مهاجمان باز می‌کند. مهاجم می‌تواند با دستکاری این درخواست‌ها، سرور را فریب داده و باعث اجرای کدهای مخرب دلخواه خود شود. این نوع حمله، یعنی اجرای کد از راه دور، یکی از جدی‌ترین تهدیدات امنیتی است زیرا به مهاجم امکان کنترل کامل بر سرور، دسترسی به اطلاعات حساس و حتی راه‌اندازی حملات زنجیره‌ای را می‌دهد.

دامنه وسیع تهدید React4Shell: از Next.js تا ابرسرویس‌ها

گستردگی این آسیب‌پذیری بسیار نگران‌کننده است. تخمین زده می‌شود که ده‌ها میلیون وب‌سایت، از جمله پلتفرم‌های بزرگی مانند ایربی‌ان‌بی و نتفلیکس، که بر پایه ری‌اکت و نکست‌جی‌اس بنا شده‌اند، در معرض خطر قرار دارند. همچنین، حدود ۳۹ درصد از زیرساخت‌های ابری حاوی نسخه‌های آسیب‌پذیر این مؤلفه‌ها هستند. این بدان معناست که تهدید React4Shell می‌تواند به سرعت گسترش یابد و تأثیرات مخربی بر اکوسیستم وب داشته باشد.

نسخه‌های آسیب‌پذیر شامل موارد زیر هستند:

مؤلفه‌های سمت سرور ری‌اکت: ۱۹.۰.۰، ۱۹.۱.۰، ۱۹.۱.۱ و ۱۹.۲.۰ (به‌ویژه بسته‌های `react-server-dom-parcel`, `react-server-dom-turbopack` و `react-server-dom-webpack`).

نکست‌جی‌اس (Next.js): ۱۵.۰.۴، ۱۵.۱.۸، ۱۵.۲.۵، ۱۵.۳.۵، ۱۵.۴.۷، ۱۵.۵.۶ و ۱۶.۰.۶.

اگرچه هنوز گزارشی از بهره‌برداری گسترده از React4Shell منتشر نشده است، اما کارشناسان امنیتی معتقدند این امر در مقیاس وسیع امکان‌پذیر خواهد بود. وجود نمونه اولیه اکسپلویت (PoC) در گیت‌هاب نیز نشان می‌دهد که مهاجمان می‌توانند به راحتی حملات خود را آغاز کنند. پروژه‌هایی که از توابع سمت سرور استفاده نمی‌کنند نیز ممکن است آسیب‌پذیر باشند، زیرا مؤلفه‌های سمت سرور می‌توانند به‌طور پیش‌فرض فعال باشند.

راهکارهای فوری برای محافظت از سرور در برابر React4Shell

با توجه به شدت این آسیب‌پذیری، انجام اقدامات حفاظتی فوری برای محافظت از سرورها و خدمات آنلاین ضروری است.

۱. به‌روزرسانی نرم‌افزارها: کلید اصلی امنیت سرور

کاربران ری‌اکت: باید به نسخه‌های ۱۹.۰.۱، ۱۹.۱.۲ یا ۱۹.۲.۱ ارتقا دهند.

کاربران نکست‌جی‌اس: باید به نسخه‌های ۱۵.۱.۹، ۱۵.۲.۶، ۱۵.۳.۶، ۱۵.۴.۸، ۱۵.۵.۷ یا ۱۶.۰.۷ به‌روزرسانی شوند.

این مهم‌ترین و مؤثرترین گام برای رفع آسیب‌پذیری React4Shell است.

۲. اقدامات حفاظتی مکمل

ارائه‌دهندگان خدمات ابری: بسیاری از ارائه‌دهندگان بزرگ خدمات ابری، قوانینی را برای فیلتر وب در سطح برنامه (WAF) منتشر کرده‌اند تا از سوءاستفاده از React4Shell جلوگیری شود. بررسی و فعال‌سازی دستی این قوانین در صورت نیاز، گامی مهم است، هرچند که جایگزین پچ کردن کامل نمی‌شود.

سرویس‌های وب روی سرورهای اختصاصی:

پیاده‌سازی قوانین تشخیص در فایروال یا سیستم فیلتر وب (WAF) برای مسدود کردن درخواست‌های مشکوک. شرکت‌های امنیتی معمولاً این قوانین را ارائه می‌دهند و می‌توان آن‌ها را به‌صورت دستی نیز ایجاد کرد.

در صورت عدم امکان فیلتر دقیق ترافیک، شناسایی تمام سرورهای دارای مؤلفه‌های سمت سرور و محدود کردن شدید دسترسی به آن‌ها. برای سرویس‌های داخلی، مسدود کردن درخواست‌ها از محدوده‌های آدرس نامعتبر و برای سرویس‌های عمومی، تقویت فیلتر اعتبار آدرس و محدودیت نرخ درخواست توصیه می‌شود.

استفاده از سیستم‌های نظارتی و پاسخ‌دهی (EDR): نصب عامل‌های نظارتی روی سرورهای دارای مؤلفه سمت سرور می‌تواند رفتارهای غیرعادی پس از بهره‌برداری را شناسایی کرده و از گسترش حمله React4Shell جلوگیری کند.

۳. بررسی عمیق و پاسخ به حوادث امنیتی

توصیه می‌شود مدیران سیستم و توسعه‌دهندگان، گزارش‌های ترافیک شبکه و محیط‌های ابری را به‌دقت بررسی کنند. نشانه‌های اولیه فعالیت پس از نفوذ شامل شناسایی محیط سرور، جست‌وجوی اسرار (مانند فایل‌های تنظیمات و توکن‌های استقرار خودکار) و نصب پوسته‌های وب است. در صورت شناسایی درخواست‌های مشکوک، یک پاسخ کامل باید انجام شود که شامل تغییر کلیدها و سایر اسرار موجود روی سرور باشد تا امنیت سرور بازگردانده شود.

[مکان قرارگیری تصویر مرتبط با خبر – در صورت وجود و نیاز به اضافه کردن]

مجله تخصصی هک و امنیت

مطالب مرتبط

h4xadmin