Hafta sonu boyunca Google’ın tehdit istihbarat ekibi, beş Çinli bilgisayar korsanlığı grubunun daha maksimum önemdeki “React2Shell” uzaktan kod yürütme güvenlik açığından yararlanan saldırılarla bağlantısını kurdu.
CVE-2025-55182 olarak izlenen ve aktif olarak yararlanılan bu kusur, React açık kaynak JavaScript kitaplığını etkiliyor ve kimliği doğrulanmamış saldırganların tek bir HTTP isteğiyle React ve Next.js uygulamalarında rastgele kod yürütmesine olanak tanıyor.
Birden fazla React paketi (örneğin, react-server-dom-parcel, react-server-dom-turbopack ve react-server-dom-webpack) varsayılan yapılandırmalarında güvenlik açığına sahip olsa da, güvenlik açığı yalnızca geçen yıl yayımlanan React 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerini etkiliyor.
Sonra saldırılar başladığında Palo Alto Networks onlarca kuruluşun ihlal edildiğini bildirdiÇin devleti destekli tehdit aktörleriyle bağlantılı olaylar da dahil. Saldırganlar, komutları yürütmek ve AWS yapılandırma dosyalarını, kimlik bilgilerini ve diğer hassas bilgileri çalmak için bu kusurdan yararlanıyor.
Amazon Web Services (AWS) güvenlik ekibi ayrıca Çin bağlantılı Earth Lamia ve Jackpot Panda tehdit aktörlerinin, güvenlik açığının açığa çıkmasından birkaç saat sonra React2Shell’i kullanmaya başladıkları konusunda da uyardı.
Saldırılarla bağlantılı beş Çinli bilgisayar korsanlığı grubu daha
Cumartesi günü, Google Tehdit İstihbarat Grubu (GTIG), kusurun 3 Aralık’ta ortaya çıkmasından sonra başlayan ve devam eden React2Shell saldırılarına katılan en az beş Çinli siber casusluk grubunun daha tespit edildiğini bildirdi.
Kusurdan yararlanan devlet bağlantılı tehdit gruplarının listesi artık UNC6600 (MINOCAT tünelleme yazılımını kullanan), UNC6586 (SNOWLIGHT indiricisi), UNC6588 (COMOOD arka kapı yükü), UNC6603 (HISONIC arka kapısının güncellenmiş bir sürümü) ve UNC6595’i (ANGRYREBEL.LINUX Uzaktan Erişim Truva Atı) da içeriyor.
GTIG araştırmacıları, “Next.js gibi popüler çerçevelerde React Server Bileşenlerinin (RSC) kullanılması nedeniyle, bu soruna karşı savunmasız olan önemli sayıda açıkta kalan sistem var” dedi.
“GTIG ayrıca, tehdit aktörlerinin tarama araçlarına, kavram kanıtı (PoC) koduna ve bu araçları kullanma deneyimlerine yönelik bağlantıları paylaştığı konular da dahil olmak üzere yeraltı forumlarında CVE-2025-55182 ile ilgili çok sayıda tartışmayı gözlemledi.”
GTIG, bu saldırıları araştırırken aynı zamanda kusuru hedef alan İranlı tehdit aktörlerini ve yama yapılmamış sistemlerde XMRig kripto para madenciliği yazılımını dağıtan finansal motivasyona sahip saldırganları da tespit etti.
Shadowserver Internet gözlemci grubu şu anda React2Shell saldırılarına karşı savunmasız olan 116.000’den fazla IP adresini izliyor ve 80.000’den fazlası Amerika Birleşik Devletleri’nde.
GreyNoise ayrıca son 24 saat içinde başta Amerika Birleşik Devletleri, Hindistan, Fransa, Almanya, Hollanda, Singapur, Rusya, Avustralya, Birleşik Krallık ve Çin olmak üzere 670’den fazla IP adresinin React2Shell uzaktan kod yürütme kusurundan yararlanmaya çalıştığını gözlemledi.
5 Aralık’ta Cloudflare, küresel bir web sitesi kesintisini React2Shell güvenlik açığına yönelik acil durum hafifletme işlemlerine bağladı.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.