Microsoft, React Server Bileşenlerini ve Next.js çerçevesini etkileyen, kimlik doğrulama öncesi uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2025-55182 hakkında kapsamlı bir kılavuz yayınladı.
Maksimum CVSS puanı 10,0 olan bu güvenlik açığı, saldırganların tek bir kötü amaçlı HTTP isteği yoluyla savunmasız sunucularda rastgele kod yürütmesine olanak tanıyor ve modern React tabanlı web uygulamaları için benzeri görülmemiş bir riski temsil ediyor.
React2Shell olarak da tanımlanan ve CVE-2025-66478 ile birleştirilen CVE-2025-55182, React Server Bileşenleri tarafından istemci ve sunucu arasında iletişim kurmak için kullanılan Uçuş protokolünü hedefler.
Güvenlik açığı, etkilenen React Server Bileşenleri sürümlerindeki yetersiz yük doğrulamasından kaynaklanıyor ve saldırganların, prototip kirliliğini ve ardından uzaktan kod yürütülmesini tetikleyen kötü amaçlı yapılar eklemesine olanak tanıyor.
Microsoft Defender araştırmacıları, 5 Aralık 2025’ten itibaren hem kırmızı ekip değerlendirmeleri hem de gerçek dünyadaki tehdit aktörlerinin bu güvenlik açığından yararlandığı aktif bir istismar tespit etti.
Saldırganlar, çeşitli kuruluşlardaki yüzlerce makineyi başarıyla ele geçirdi; çoğu sömürü sonrası veri, kripto para birimi madencilerini hem Windows hem de Linux ortamlarına dağıtıyor.
Güvenlik açığı, %100’e yakın güvenilirlik gösteren, kamuya açık kavram kanıtlama istismarlarıyla birlikte hiçbir özel yapılandırma veya geliştirici hatası gerektirmeyen varsayılan istismar edilebilirliği nedeniyle özellikle tehlikelidir.
Sömürü Sonrası Taktikler
Microsoft Defender telemetrisi, saldırganların React Server Bileşenleri çalıştıran uygulamalara kötü amaçlı serileştirilmiş nesneler içeren hazırlanmış POST istekleri göndererek bu güvenlik açığından yararlandığını gösteriyor.
Arka uç sunucusu tarafından seri durumdan çıkarıldıktan sonra, saldırgan tarafından sağlanan giriş, varsayılan bileşen güven mekanizmaları nedeniyle NodeJS çalışma zamanı altında yürütülür.
Kullanım sonrası faaliyetler, Cobalt Strike sunucularına ters kabuk bağlantıları kurmayı ve VShell ve EtherRAT uzaktan erişim truva atları, SNOWLIGHT bellek tabanlı kötü amaçlı yazılım indiricisi, ShadowPAD ve XMRig kripto madencileri dahil olmak üzere çeşitli kötü amaçlı yazılım yüklerinin dağıtılmasını içerir.
Saldırganlar, saldırgan tarafından kontrol edilen CloudFlare Tüneli uç noktalarından veriler indirerek ve kötü amaçlı işlemleri sistem izleme araçlarından gizlemek için bağlama bağlarından yararlanarak gelişmiş kaçınma teknikleri kullanır.
Kimlik bilgisi hırsızlığı operasyonları, yanal harekete olanak tanıyan kimlik belirteçleri elde etmek için Azure, AWS, Google Cloud Platform (GCP) ve Tencent Cloud için Azure Örnek Meta Veri Hizmeti (IMDS) uç noktalarını hedefler.
Kuruluşlar, OpenAI API anahtarları, Databricks belirteçleri ve Kubernetes hizmet hesabı kimlik bilgileri dahil olmak üzere yapay zeka ve bulutta yerel kimlik bilgilerinin toplanmaya çalışıldığını gözlemledi.
Azaltmalar
Microsoft, birden çok alanda anında eylem yapılmasını önerir. Kuruluşlar önce etkilenen paketleri react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack ve ardından node_modules dizinlerinde tanımlamalı ve sürümleri belgelenen etkilenen aralıklara göre doğrulamalıdır.
19.0.0 ila 19.2.0 arası React sürümleri ve 14.3.0-canary.77 ila 16.0.6 arası Next.js sürümleri hassastır ve düzeltme gerektirir.
Anında düzeltme eki uygulamak için internete yönelik hizmetlere öncelik vermek kritik öneme sahiptir. Etkilenen kuruluşların React 19.0.1, 19.1.2 veya 19.2.1 ve Next.js 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 veya 16.0.7 dahil olmak üzere yamalı sürümlere yükseltme yapması gerekir.
Microsoft Defender Güvenlik Açığı Yönetimi (MDVM), güvenlik açığı bulunan paket envanterinin ortaya çıkarılmasına ve kurumsal altyapı genelinde iyileştirme ilerlemesinin izlenmesine yardımcı olur.
Bulut için Microsoft Defender müşterileri, güvenlik açığı bulunan kapsayıcı görüntülerini ve güvenlik açığı bulunan sanal makineleri çalıştıran açıkta kalan kapsayıcıları bulmak için güvenlik gezgini şablonlarını kullanabilir.
Azure Web Uygulaması Güvenlik Duvarı (WAF) özel kuralları, pencereleri düzeltme eki uygulama sırasında telafi edici bir denetim olarak yararlanma modellerini engelleyebilir.
Microsoft, yeni saldırı çeşitleri ortaya çıktıkça devam eden güncellemelerle birlikte Azure Ağ Güvenliği Blogunda ayrıntılı kural kılavuzu ve JSON örnekleri yayımladı.
Kuruluşlar, React Server Bileşenlerinden yararlanma girişimleri için Microsoft Defender uyarılarını etkinleştirmeli ve güvenli tehdit önceliklendirmesi için uç nokta, konteyner ve bulut sinyallerini ilişkilendirmelidir.
Microsoft Defender XDR müşterileri, tüm işletim sistemlerinde CVE-2025-55182 etkinliğini tanımlayan ve otomatik saldırı engelleme özellikleriyle entegre olan genişletilmiş algılama çerçevelerinden yararlanır.
Bulut için Microsoft Defender, savunmasız konteynerler ve bulut sanal makineleri için aracısız tarama desteği sağlar.
Güvenlik ekipleri, Azure, AWS ve GCP platformları genelinde, açığa çıkan kaynakları tespit etmek ve kendi ortamlarındaki potansiyel güvenlik ihlali rotalarını haritalandırmak için Microsoft Security Exposure Management’ın otomatik saldırı yolu analizinden yararlanabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.