Salı günü güvenlik ekipleri, React Server Bileşenlerindeki kritik bir güvenlik açığıyla bağlantılı artan sayıda potansiyel tehlikeye yanıt verdiklerini söyledi.
Krizin kapsamı beklenenden daha geniş Shadowserver 165.000’den fazla rapor verdi Tarama hedeflemede iyileştirmeler uygulandıktan sonra IP’ler ve potansiyel güvenlik açığına sahip kod içeren 644.000 alan.
Palo Alto Networks, Cybersecurity Dive’a şu ana kadar 50’den fazla kuruluşta istismar sonrası tehdit faaliyetinin gözlemlendiğini söyledi.
Etkilenen kuruluşlar medya, finansal hizmetler, ticari hizmetler, teknoloji, federal, eyalet ve yerel yönetim ve telekomünikasyon dahil olmak üzere çeşitli sektörlerde çalışmaktadır.
CVE-2025-55182 olarak takip edilen güvenlik açığı, kimliği doğrulanmamış bir saldırganın, yüklerin güvenli olmayan şekilde seri durumdan çıkarılması nedeniyle uzaktan kod yürütmesine olanak tanıyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı güvenlik açığıyla bağlantılı bir öneriyi güncelledi ve güvenlik ekiplerinden, azaltıcı önlemleri uyguladıktan sonra internetten erişilebilen React örneklerinde güvenlik ihlali etkinliği belirtileri olup olmadığını kontrol etmelerini istedi.
A yama daha önce yayınlandı kusuru gidermek için.
Daha önce bildirildiği gibi, AWS araştırmacılarına göre güvenlik açığı, Earth Lamia ve Jackpot Panda olarak takip edilen Çin’deki devlet bağlantılı aktörler tarafından hedef alındı.
Palo Alto Networks ayrıca şunları bildirdi: Salı günü tehdit faaliyetinin genişletilmesiPotansiyel olarak Kuzey Kore ile bağlantısı olan sahte BT işe alım görevlileri mücadeleye dahil oldu. Araştırmacılar, Bulaşıcı Röportaj olarak takip edilen kampanyanın, sahte BT işe alım görevlilerinin iş arayanların bilgisayarlarına kötü amaçlı yazılım yüklemesini içerdiğini söyledi.
Kuzey Kore bağlantılı bir saldırgan, kötü amaçlı yazılım dağıtmak ve hırsızlık yapmak için EtherHiding adlı bir teknik kullanıyor kripto para birimi ile halka açık blockchainlerden faydalanmakPalo Alto Networks’e göre.
Araştırmacılar ayrıca, Red Menshen olarak bilinen Çin bağlantılı bir aktörle ilişkilendirilen, BPFDoor olarak bilinen bir Linux arka kapısının kullanıldığını da tespit etti.
GreyNoise’daki araştırmacılar Pazartesi günü güvenlik açığını hedef alan 362 benzersiz IP adresi bildirildi. Bilgisayar korsanları, uzaktan komut dosyası yürütme, ters kabuk/indirici komut dosyaları, SSH kalıcılığı ve dizin keşfi dahil olmak üzere çeşitli saldırı yöntemlerini gösterdi.