Raporlara göre, React JavaScript kitaplığında bulunan ve Cloudflare’in kendi ağında canlı hafifletme önlemleri alması nedeniyle internette kesintiye neden olan bir uzaktan kod yürütme (RCE) güvenlik açığı, artık birden fazla tehdit aktörü tarafından geniş ölçekte istismar ediliyor.
Meta tarafından sağlanan React, geliştiricilerin hem yerel hem de web uygulamaları için kullanıcı arayüzleri (UI’ler) oluşturmasına olanak sağlamak üzere tasarlanmış açık kaynaklı bir kaynaktır.
Siber topluluk tarafından CVE-2025-55182 olarak atanan ve React2Shell olarak adlandırılan söz konusu güvenlik açığı, React Server Bileşenlerinin 19.0.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerinde, React Function Endpoints’e gönderilen yüklerin kodunu çözme biçimindeki bir kusurdan yararlanan, kritik puan alan bir ön kimlik doğrulama RCE kusurudur.
Bu, bir Sunucu İşlevi uç noktasına kötü amaçlı bir HTTP isteği oluşturularak, bir tehdit aktörünün hedef sunucuda rastgele kod çalıştırma yeteneği kazanabileceği anlamına gelir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) kataloğuna 5 Aralık Cuma günü eklendi ve Amazon Web Services (AWS) CISO’su ve güvenlik mühendisliği başkan yardımcısı CJ Moses’a göre, hızlı istismarın arkasındaki baş suçluların Çin bağlantılı tehdit aktörleri olduğu düşünülüyor.
Moses, Çin’in birden fazla devlet destekli tehdit aktörü için ortak, büyük ölçekli anonimleştirme altyapısı çalıştırma alışkanlığının kesin atıf yapmayı zorlaştırdığı konusunda uyardı; ancak 3 Aralık Çarşamba günü yapılan açıklamanın ardından Earth Lamia ve Jackpot Panda olarak takip edilen grupların React2Shell’den yararlanırken gözlemlendiğine dikkat çekti.
“Çin, devlet destekli siber tehdit faaliyetlerinin en verimli kaynağı olmaya devam ediyor; tehdit aktörleri, ifşa edildikten birkaç saat veya birkaç gün sonra rutin olarak kamuya açık saldırıları operasyonel hale getiriyor” diye yazdı.
“Amazon tehdit istihbaratı ekipleri, AWS MadPot bal küpü altyapımızdaki izleme yoluyla, CVE-2025-55182’den yararlanmaya çalışan hem bilinen grupları hem de önceden izlenmeyen tehdit kümelerini belirledi.”
Earth Lamia, özellikle eğitim kurumları, finansal hizmet kuruluşları, devlet kurumları, BT şirketleri, lojistik firmaları ve perakendecilere odaklanarak, öncelikle Latin Amerika, Orta Doğu ve Güneydoğu Asya’da bulunan kuruluşlara karşı web uygulaması güvenlik açıklarından yararlanmasıyla tanınmaktadır.
AWS’ye göre Jackpot Panda, Çin’in yolsuzluk ve iç güvenlikle ilgili hedeflerine uygun operasyonlarla Doğu ve Güneydoğu Asya’daki faaliyetlerini hedefliyor.
Büyük saldırı
Radware tehdit araştırmacıları, React ve Next.js gibi savunmasız çerçeveleri çalıştıran 950.000’den fazla sunucunun olabileceğini öne süren raporlarla birlikte, devasa bir potansiyel saldırı yüzeyi konusunda uyardı.
Radware, React ve Next.js’nin verimlilikleri ve esneklikleri sayesinde iyi bir şekilde kullanıldığını, güçlü ekosistemlerin ise onları birçok geliştirici için varsayılan seçenek haline getirdiğini ve bu nedenle mobil uygulamalardan tüketiciye yönelik web sitelerinden kurumsal sınıf platformlara kadar her yerde bulunduğunu söyledi.
Radware ekibi, “Bu yaygın bağımlılık, tek bir kritik kusurun modern web altyapısının önemli bir kısmı için kademeli sonuçlara yol açabileceği anlamına geliyor” dedi. “Genel ve özel bulutlardaki önemli sayıda uygulama anında istismar edilebilir durumda ve acil ve yaygın eylem gerektiriyor.”
Sızma testi ve yapay zeka güvenlik uzmanı Suzu Labs’ın kurucusu ve CEO’su Michael Bell, ifşa edilmesinden ulus devlet aktörleri tarafından aktif olarak kullanılmasına kadar geçen saatlerin yeni normal olduğunu ve işlerin muhtemelen daha da kötüleşeceğini söyledi.
“Çin-nexus grupları güvenlik açığı tepkilerini sanayileştirdiler: açıklamaları izliyorlar, halka açık PoC’leri (kırık olanları bile) alıyorlar ve çoğu kuruluş danışma belgesini okumayı bitirmeden bunları geniş ölçekte püskürtüyorlar” dedi.
“Saldırganların bal küplerine karşı gerçek zamanlı olarak hata ayıkladığını gösteren AWS raporu, bunun otomatik bir tarama olmadığını; yamalar yayınlanmadan önce kalıcılığı sağlamak için klavye başındaki uygulamalı operatörlerin yarıştığını gösteriyor.
Bell, “Yapay zeka araçlarının güvenlik açığı açıklamalarını ayrıştırma ve yararlanma kodu oluşturma konusunda giderek daha yetenekli hale gelmesiyle birlikte, açıklama ile silaha dönüştürülme arasındaki sürenin saatlerden dakikalara inmesini bekliyoruz” dedi.
Acil durum yaması hizmetindeki daha önceki Cloudflare kesintisinin “burada ciddiyet hesabı hakkında her şeyi size anlattığını” ekledi.