Google Tehdit İstihbarat Grubu (GTIG), React Server Bileşenlerindeki kritik bir güvenlik kusurunun yaygın şekilde kullanılmasına ilişkin bir uyarı yayınladı.
React2Shell (CVE-2025-55182) olarak bilinen bu güvenlik açığı, saldırganların parolaya ihtiyaç duymadan sunucuların kontrolünü uzaktan ele geçirmesine olanak tanıyor.
Güvenlik açığının açıklandığı 3 Aralık 2025’ten bu yana Google, birden fazla farklı hacker grubunun bu kusuru kötüye kullandığını gözlemledi.
Saldırganlar, devlet destekli casusluk gruplarından finansal kazanç peşinde koşan siber suçlulara kadar çeşitlilik gösteriyor.
Tehdit Aktörleri ve Kötü Amaçlı Yazılım Kampanyaları
Google araştırmacıları, yama uygulanmamış sistemleri hedefleyen çeşitli kampanyalar belirledi. Temel gözlemler şunları içerir:
- Çin-Nexus Casusluğu: Çin’e bağlı gruplar, arka kapıları ve gizli araçları dağıtmak için React2Shell’i kullanıyor. UNC6600 adlı bir grup, kurban ağlarına gizli erişimi sürdürmek için MINOCAT tünelleyicisini kuruyor. Başka bir grup olan UNC6603, Cloudflare gibi meşru hizmetler aracılığıyla iletişim kurarak trafiğini gizleyen HISONIC arka kapısının güncellenmiş bir sürümünü kullanıyor.
- Finansal Siber Suç: Fırsatçı saldırganlar bu kusuru kripto para madencilerini kurmak için kullanıyor. Bir vakada suçlular, kurbanın sunucu gücünü kullanarak dijital para üretmek için XMRig’i kullandı.
- Ek Tehditler: Tanımlanan diğer kötü amaçlı yazılımlar arasında, her ikisi de verileri çalmak veya daha fazla kötü amaçlı yazılım yüklemek için kullanılan SNOWLIGHT indiricisi ve COMPOOD arka kapısı yer alıyor.
React2Shell, maksimum önem puanı 10,0 (CVSS v3) ile derecelendirilmiştir. Modern web siteleri oluşturmak için kullanılan popüler çerçeveler olan React ve Next.js’nin belirli sürümlerini etkiler. Bu araçlar yaygın olarak kullanıldığı için şu anda birçok kuruluş açığa çıkmaktadır.
Google, meşru yararlanma kodunun artık kamuya açık olduğu ve saldırganların saldırmasını kolaylaştıracağı konusunda uyarıyor.
İlk istismar araçlarının bazıları sahte veya bozuk olsa da, web kabuklarını doğrudan belleğe yükleyebilen araçları da içeren işlevsel yöntemler artık dolaşımda.
Güvenlik uzmanları, yöneticileri etkilenen sistemlere derhal yama yapmaya çağırıyor. Next.js veya React Server Bileşenlerini kullanan kuruluşlar, yetkisiz erişimi önlemek için güvenli sürümler çalıştırdıklarını doğrulamalıdır.
IoC
| Gösterge | Tip | Tanım |
reactcdn.windowserrorapis[.]com |
İhtisas | SNOWLIGHT C2 ve Hazırlama Sunucusu |
82.163.22[.]139 |
IP Adresi | SNOWLIGHT C2 Sunucusu |
216.158.232[.]43 |
IP Adresi | sex.sh betiği için hazırlama sunucusu |
45.76.155[.]14 |
IP Adresi | COMPOOD C2 ve Yük Hazırlama Sunucusu |
df3f20a961d29eed46636783b71589c183675510737c984a11f78932b177b540 |
SHA256 | HİSonik numune |
92064e210b23cf5b94585d3722bf53373d54fb4114dca25c34e010d0c010edf3 |
SHA256 | HİSonik numune |
0bc65a55a84d1b2e2a320d2b011186a14f9074d6d28ff9120cb24fcc03c3f696 |
SHA256 | ANGRYREBEL.LINUX örneği |
13675cca4674a8f9a8fabe4f9df4ae0ae9ef11986dd1dcc6a896912c7d527274 |
SHA256 | XMRIG İndirici Komut Dosyası (dosya adı: sex.sh) |
7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0e11a317e6fedc694de37737a |
SHA256 | SNOWLIGHT örneği (dosya adı: linux_amd64) |
776850a1e6d6915e9bf35aa83554616129acd94e3a3f6673bd6ddaec530f4273 |
SHA256 | MINOCAT örneği |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
