Çin bağlantılı tehdit grupları, CVE-2025-55182 olarak takip edilen yeni React2Shell hatasını, kamuya açıklanmasından yalnızca birkaç saat sonra silah haline getirmek için yarışıyor.
Kusur, React Server Bileşenlerinde bulunuyor ve bir saldırganın oturum açmadan sunucuda kod çalıştırmasına olanak tanıyor. İlk taramalar, internete yönelik React ve Next’in geniş çapta araştırıldığını gösteriyor[.]Yüksek değerli bulut iş yüklerine odaklanan Node.js uygulamaları.
Hata React 19.x ve Next’i etkiliyor[.]Uygulama Yönlendirici özelliği kullanımdayken js 15.x ve 16.x. Sunucu eylemlerini çağırmayan uygulamalar bile React Server Bileşenlerini destekledikleri sürece risk altındadır.
Bu, en yeni React yığınını benimseyen ancak henüz yama yapmamış ekipler için görünürlüğü büyük kılar.
AWS güvenlik analistleri ve araştırmacıları, tavsiyelerin kamuya duyurulmasından birkaç saat sonra MadPot honeypot ağlarındaki canlı React2Shell istismar trafiğini tespit etti.
Daha sonra Sonaris aracılığıyla yeni savunmalar sağladılar ve AWS WAF tarafından yönetilen kuralları güncellediler ve bu katmanların müşteri tarafından çalıştırılan EC2, konteynerler ve şirket içi ana bilgisayarlarda hızlı yama uygulamasının yerini almadığı konusunda uyarıda bulundular.
Earth Lamia ve Jackpot Panda gibi Çin bağlantılı gruplara bağlı trafik, herkese açık kavram kanıtlama kodunun gerçek uygulamalara karşı aktif olarak test edildiğini gösteriyor.
Bazı kümeler, aşağıdaki gibi komutları deneyerek yüklerin ince ayarını yapmak için bir saate yakın zaman harcar: whoami, iddosya şuraya yazar: /tmp/'pwned'.txtve şunu okur: /etc/'passwd'.
| Alan | Detay |
|---|---|
| CVE | CVE-2025-55182 |
| İsim | React2Shell |
| CWE / Sınıf | React Server Bileşenlerinde güvenli olmayan seri durumdan çıkarma |
| Şiddet (CVSS) | 10.0, kritik |
| Etkilenen yığın | 19.x’e tepki verin; Next.js 15.x, 16.x Uygulama Yönlendiricisi ile |
| Saldırı vektörü | Uzak, kimliği doğrulanmamış HTTP POST |
| Darbe | Node.js sunucusunda uzaktan kod yürütme |
| Anahtar HTTP işaretleri | ‘next-action‘,’rsc-action-id‘, '$''@‘, "status":"resolved_model" |
Enfeksiyon akışı ve yararlanma zinciri
Bu bölümde açık ve basit terimlerle eksiksiz bir teknik analiz verilmektedir. Tipik bir React2Shell saldırısı, React Server Bileşenleri uç noktasına yönelik hazırlanmış bir POST isteğiyle başlar.
Gövde, sunucuya JavaScript enjekte etmek için güvenli olmayan seri durumdan çıkarma adımını kötüye kullanan sahte bir “eylem” yükünü barındırıyor.
Basit bir örnek şuna benzer: –
'POST /_rsc HTTP/1[.]1'
Host: victim[.]example
Content-Type: application/json
{"next-action":"'$@'malicious_payload","status":"resolved_model"}Veri yükü ulaştığında, sunucu kabuk komutlarını oluşturabilir, dosyalara dokunabilir. / 'tmp‘ veya Düğüm işleminden yeni giden bağlantılar açın.
Pek çok kamuya açık istismar bozuldu, ancak saldırganlar bunları hâlâ geniş ölçekte ateşleyerek günlükleri gürültüyle dolduruyor ve çalışan zincirleri saklıyor.
Ekipler bu başlıkları ve kalıpları ve ayrıca Node’daki tek alt süreçleri araştırmalıdır.[.]js; bu, olaya müdahale ekiplerinin hızlı incelemesi için bu işaretleri vurgular.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
