Microsoft, React Server Bileşenleri ve Next.js ortamları için ciddi riskler oluşturan, React2Shell (CVE-2025-55182) adlı kritik bir güvenlik açığına yönelik kapsamlı azaltımlar yayımladı.
Maksimum CVSS puanı 10,0 olan bu kimlik doğrulama öncesi uzaktan kod yürütme kusuru, tehdit aktörlerinin tek bir kötü amaçlı HTTP isteği yoluyla sunucuların güvenliğini aşmasına olanak tanır.
Suistimal girişimleri ilk olarak 5 Aralık 2025’te tespit edildi ve hem Windows hem de Linux sistemlerini hedef alarak endişe verici başarı oranları elde edildi.
Güvenlik açığı, React Server Components ekosisteminin Flight protokolünü kullanarak verileri işleme biçiminden kaynaklanıyor.
Bir istemci veri istediğinde, sunucu, sunucu tarafı mantığını yürütmek için gelen veriyi ayrıştırır. Ancak bu girişlerin doğru şekilde doğrulanamaması, saldırganların sunucunun geçerli olarak kabul ettiği kötü amaçlı yapıları enjekte etmesine olanak tanır.
Bu gözetim, prototip kirliliğine yol açarak sonuçta saldırganın temel sunucuda rastgele kod çalıştırmasına olanak tanır.
Microsoft analistleri, bu kusurdan yararlanan kötü amaçlı yazılım kampanyalarını ortaya çıktıktan kısa bir süre sonra tespit etti. Saldırıların genellikle savunmasız bir web uygulamasına gönderilen hazırlanmış bir POST isteğiyle başladığını gözlemlediler.
Arka uç bu girişi seri durumdan çıkardığında, kötü amaçlı kod, standart güvenlik kontrollerini atlayarak Node.js çalışma zamanında yürütülür.
Bu varsayılan güven yapılandırması, güvenlik açığından yararlanmak için herhangi bir özel kurulum veya kullanıcı etkileşimi gerektirmediğinden ve birçok kurumsal ortamı açıkta bıraktığından, bu güvenlik açığını özellikle tehlikeli hale getiriyor.
Enfeksiyon Mekanizması ve Kalıcılık
İlk erişim elde edildikten sonra, tehdit aktörleri kalıcılık sağlamak ve ele geçirilen ağ üzerindeki kontrollerini genişletmek için hızlı bir şekilde harekete geçer.
Saldırı zinciri genellikle saldırganın kontrolündeki Cobalt Strike sunucularına bağlanan ve sürekli uzaktan erişime olanak tanıyan ters kabukların konuşlandırılmasını içerir.
.webp)
Hedeflere yönelik eyleme yol açan etkinliği gösteren saldırı diyagramı, bu izinsiz girişlerin tipik akışını göstermektedir.
Saldırganlar, yeniden başlatma sonrasında bile erişimi sürdürmek için sıklıkla MeshAgent gibi uzaktan izleme ve yönetim araçlarını kullanır veya yetkili_anahtarlar gibi sistem dosyalarını değiştirir.
Tespitten kaçınmak için, kötü amaçlı işlemleri sistem izleme araçlarından gizlemek amacıyla bağlama bağlantıları kullanabilirler.
Daha ileri analizler, VShell ve EtherRAT gibi uzaktan erişim truva atlarının yanı sıra XMRig kripto madencileri de dahil olmak üzere çok çeşitli yüklerin teslim edildiğini ortaya koyuyor.
.webp)
Harekatlardan birinde gözlemlenen bu ters mermi örneği, bu izinsiz girişler sırasında kullanılan komuta yapılarını vurguluyor.
Saldırganlar, anlık kontrolün ötesinde, Azure, AWS ve Google Cloud Platform için bulut kimlik belirteçlerini çalmak amacıyla sistem ayrıntılarını ve ortam değişkenlerini etkin bir şekilde sıralıyor.
Bu kimlik bilgisi hırsızlığı, bulut kaynakları arasında yanal hareketi kolaylaştırarak ihlalin bu entegre hizmetlere güvenen kuruluşlar üzerindeki etkisini önemli ölçüde artırıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
