Güvenlik açığının açığa çıkarılması ve silaha dönüştürülmesi döngüsü bir kez daha rekorları altüst etti. Amazon Web Services’den (AWS) gelen yeni bir tehdit istihbaratına göre, Çin’e bağlı devlet destekli bilgisayar korsanlığı grupları, popüler web geliştirme çerçevelerindeki “React2Shell” lakaplı kritik bir güvenlik açığından, halka açıklanmasından yalnızca birkaç saat sonra aktif olarak yararlanmaya başladı.
CVE-2025-55182 olarak izlenen React2Shell güvenlik açığı, Uygulama Yönlendiricisi kullanılırken React 19.x ve Next.js sürüm 15.x ve 16.x’teki React Sunucu Bileşenlerini etkiliyor. Kusur, CVSS ölçeğinde maksimum önem puanı olan 10,0’ı taşıyor ve kimliği doğrulanmamış uzaktan kod yürütülmesine (RCE) olanak tanıyor.
Hızlı Silahlanma Yarışı
Güvenlik açığı 3 Aralık Çarşamba günü kamuya duyuruldu. MadPot honeypot altyapılarını izleyen AWS tehdit istihbaratı ekipleri, istismar girişimlerini neredeyse anında tespit etti.
Faaliyet telaşı içinde tespit edilen tehdit aktörleri, aşağıdakiler de dahil olmak üzere Çin devleti ile bağlantılı bilinen siber casusluk gruplarıyla bağlantılıdır:
Toprak Lamia: Latin Amerika, Orta Doğu ve Güneydoğu Asya’daki finansal hizmetleri, lojistik ve devlet kuruluşlarını hedeflemesiyle biliniyor.
Panda İkramiyeleri: Genellikle iç güvenlik çıkarlarıyla uyumlu olan Doğu ve Güneydoğu Asya varlıklarına odaklanan bir grup.
Bulguları açıklayan bir AWS Güvenlik Blogu gönderisinde, “Çin, tehdit aktörlerinin kamuya açık saldırıları ifşa edildikten sonraki saatler veya günler içinde rutin olarak devreye sokmasıyla, devlet destekli siber tehdit faaliyetlerinin en verimli kaynağı olmaya devam ediyor” dedi.
Operasyonun hızı, kamuyu aydınlatma ile aktif saldırı arasındaki sürenin artık günler yerine dakikalarla ölçüldüğünü gösterdi.
Ayrıca okuyun: Çin Bağlantılı RedNovember Kampanyası, Uç Cihazlara Yama Eklemenin Önemini Gösteriyor
Hacker’ın Hassasiyetten Önce Hıza Dayalı Yeni Stratejisi
AWS analizi aynı zamanda tehdit gruplarının teknik doğruluk yerine hacim ve hıza öncelik verdiğine dair modern devlet-bağlantı taktiklerine ilişkin önemli bir öngörüyü de ortaya çıkardı.
Müfettişler, birçok saldırganın GitHub güvenlik topluluğundan elde edilen, kullanıma hazır ancak çoğu zaman kusurlu, halka açık Kavram Kanıtı (PoC) açıklarından yararlanmaya çalıştığını gözlemledi. Bu PoC’ler sıklıkla kusurla ilgili temel teknik yanlış anlamaları ortaya koyuyordu.
Teknik yetersizliğe rağmen tehdit aktörleri, savunmasız yapılandırmaların küçük bir yüzdesini yakalamayı umarak bu PoC’leri “hacim tabanlı bir yaklaşımla” binlerce hedefe agresif bir şekilde atıyor. Bu, günlüklerde önemli miktarda gürültü oluşturur ancak sömürülebilir bir zayıf bağlantı bulma şanslarını başarılı bir şekilde en üst düzeye çıkarır.
Dahası, saldırganlar odak noktalarını sınırlandırmıyor, eş zamanlı olarak diğer güncel güvenlik açıklarından yararlanmaya çalışıyor, hedefleri olabildiğince hızlı bir şekilde tehlikeye atmak için sistematik, çok yönlü bir kampanya sergiliyorlardı.
Yama Çağrısı
AWS, yönetilen hizmetleri ve AWS WAF kullanan müşterileri için otomatik korumalar dağıtmış olsa da şirket, kendi ortamlarında (Amazon EC2 veya konteynerler gibi) React veya Next.js uygulamalarını çalıştıran tüm kuruluşlara acil bir uyarı yayınlıyor.
Birincil hafifletme yöntemi anında yama uygulamaktır.
AWS, “Bu korumalar yama uygulamasının yerini tutmaz” diye uyardı. Geliştiricilerin, devlet destekli grupların ortamlarına RCE erişimi sağlamasını önlemek için resmi React ve Next.js güvenlik tavsiyelerine başvurmaları ve savunmasız uygulamaları derhal güncellemeleri gerekir.
CVE-2025-55182, bir saldırganın aşağıdaki paketlerin güvenlik açığı bulunan sürümlerinde kimliği doğrulanmamış Uzaktan Kod Yürütme (RCE) gerçekleştirmesine olanak tanır:
- tepki-sunucu-dom-webpack
- tepki-sunucu-dom-parsel
- tepki-sunucu-dom-turbopack
AWS’nin bulguları, günümüzde CVSS 10.0 derecesine sahip bir güvenlik açığının, kamuya açık hale geldiği anda ulusal güvenlik acil durumu haline geldiğine dair temkinli bir hikayeyi ortaya koyuyor.