İnternete açık 77.000’den fazla IP adresi, kritik React2Shell uzaktan kod yürütme kusuruna (CVE-2025-55182) karşı savunmasız; araştırmacılar artık saldırganların birden fazla sektörde 30’dan fazla kuruluşun güvenliğini ihlal ettiğini doğruluyor.
React2Shell, tek bir HTTP isteği yoluyla yararlanılabilen ve aynı seri durumdan çıkarma mantığını kullanan Next.js dahil olmak üzere React Sunucu Bileşenlerini uygulayan tüm çerçeveleri etkileyen, kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığıdır.
React, 3 Aralık’ta güvenlik açığını açıkladı ve React Sunucu Bileşenleri içindeki istemci tarafından kontrol edilen verilerin güvenli olmayan şekilde seri durumdan çıkarılmasının, saldırganların rastgele komutların uzaktan, kimlik doğrulaması olmadan yürütülmesini tetiklemesine olanak sağladığını açıkladı.
Geliştiricilerin React’ı en son sürüme güncellemesi, uygulamalarını yeniden oluşturması ve ardından güvenlik açığını düzeltmek için yeniden konuşlandırması gerekiyor.
4 Aralık’ta güvenlik araştırmacısı Maple3142, yama uygulanmamış sunuculara karşı uzaktan komut yürütülmesini gösteren çalışan bir kavram kanıtı yayınladı. Kısa bir süre sonra, saldırganlar ve araştırmacılar kamuya açık açıkları otomatik araçlarla kullanmaya başladıkça kusurun taranması hızlandı.
77.000’den fazla savunmasız IP adresi
Shadowserver Internet gözlemci grubu şimdi, React2Shell kusuruna karşı savunmasız olan 77.664 IP adresi tespit ettiğini ve bunların yaklaşık 23.700’ünün Amerika Birleşik Devletleri’nde olduğunu bildirdi.
Kaynak: ShadowServer
Araştırmacılar, Searchlight Cyber/Assetnote tarafından geliştirilen bir tespit tekniği kullanarak IP adreslerinin savunmasız olduğunu belirledi; burada kusurdan yararlanmak için sunuculara bir HTTP isteği gönderildi ve bir cihazın savunmasız olup olmadığını doğrulamak için belirli bir yanıt kontrol edildi.
GreyNoise ayrıca son 24 saat içinde kusurdan yararlanmaya çalışan 181 farklı IP adresi kaydetti ve trafiğin çoğu otomatik görünüyordu. Araştırmacılar, taramaların öncelikle Hollanda, Çin, ABD, Hong Kong ve az sayıda başka ülkeden geldiğini söylüyor.
Kaynak: Gri Gürültü
Palo Alto Networks, React2Shell kusuru nedeniyle 30’dan fazla kuruluşun güvenliğinin ihlal edildiğini, saldırganların komutları çalıştırmak, keşif yapmak ve AWS yapılandırmasını ve kimlik bilgisi dosyalarını çalmaya çalışmak için bu güvenlik açığından yararlandığını bildirdi.
Bu uzlaşmalar, devletle ilişkili olduğu bilinen Çinli tehdit aktörleriyle bağlantılı izinsiz girişleri de içeriyor.
React2Shell’in yaygın kullanımı
Açıklanmasından bu yana araştırmacılar ve tehdit istihbaratı şirketleri, CVE-2025-55182 kusurunun yaygın şekilde kullanıldığını gözlemledi.
GreyNoise, saldırganların, cihazın uzaktan kod yürütme kusuruna karşı savunmasız olduğunu doğrulamak için sıklıkla temel matematik işlevini gerçekleştiren PowerShell komutlarıyla başladığını bildiriyor.
Bu testler minimum düzeyde istismar belirtisi bırakarak öngörülebilir sonuçlar verir:
powershell -c "40138*41979"
powershell -c "40320*43488"Uzaktan kod yürütme onaylandıktan sonra saldırganların, ek komut dosyalarını doğrudan belleğe indiren base64 kodlu PowerShell komutlarını çalıştırdığı görüldü.
powershell -enc Gözlemlenen komutlardan biri harici siteden ikinci aşama PowerShell betiğini çalıştırır (23[.]235[.]188[.]3), uç nokta güvenliğini atlamak ve ek yükleri dağıtmak amacıyla AMSI’yi devre dışı bırakmak için kullanılır.
VirusTotal’a göre GreyNoise tarafından gözlemlenen PowerShell betiği, hedeflenen cihaza bir Cobalt Strike işaretçisi yükleyerek tehdit aktörlerine ağ üzerinde bir yer sağlıyor.
Amazon AWS tehdit istihbaratı ekipleri, React CVE-2025-55182 kusurunun ifşa edilmesinden saatler sonra, altyapının Earth Lamia ve Jackpot Panda olarak bilinen Çin bağlantılı APT hackleme gruplarıyla ilişkili olduğu hızlı bir istismara tanık oldu.
Bu istismarda tehdit aktörleri, gibi komutları kullanarak savunmasız sunucular üzerinde keşif gerçekleştirir. whoami Ve iddosya yazmaya çalışıyorum ve /etc/passwd dosyasını okuyorum.
Palo Alto Networks de benzer istismarları gözlemledi ve bunların bir kısmını Çin Devlet Güvenlik Bakanlığı’na bağlı olduğuna inanılan Çin devleti destekli bir tehdit aktörü olan UNC5174’e bağladı.
Palo Alto Networks Birim 42 Kıdemli Müdürü Justin Moore, BleepingComputer’a e-posta yoluyla şunları söyledi: “Yüksek güvenle değerlendirdiğimiz Birim 42’de gözlemlenen tehdit faaliyeti, Çin Devlet Güvenlik Bakanlığı ile bağları olan ilk erişim komisyoncusu olduğundan şüphelenilen bir grup olan CL-STA-1015 (diğer adıyla UNC5174) ile tutarlıdır.”
“Bu etkinlikte, her ikisi de CL-STA-1015’in (UNC5174 olarak da bilinir) Unit 42 bilgisiyle oldukça tutarlı olan Snowlight ve Vshell kötü amaçlı yazılımlarının dağıtımını gözlemledik.”
Bu saldırılarda konuşlandırılan kötü amaçlı yazılımlar şunlardır:
- Kar ışığı: Uzaktaki saldırganların ihlal edilen cihazlara ek yükler bırakmasına olanak tanıyan bir kötü amaçlı yazılım düşürücü.
- Vshell: Çinli bilgisayar korsanlığı grupları tarafından uzaktan erişim, istismar sonrası etkinlik ve güvenliği ihlal edilmiş bir ağ üzerinden yanal olarak hareket etmek için yaygın olarak kullanılan bir arka kapı.
Yama acelesi
React kusurunun ciddiyeti nedeniyle dünya çapındaki şirketler yamayı yüklemek ve hafifletici önlemleri uygulamak için acele ettiler.
Dün Cloudflare, yaygın kullanımı ve ciddiyeti nedeniyle Web Uygulama Güvenlik Duvarındaki (WAF) React kusuruna yönelik acil durum tespitlerini ve hafifletme önlemlerini uygulamaya koydu.
Ancak güncelleme, kurallar düzeltilmeden önce yanlışlıkla çok sayıda web sitesini etkileyen bir kesintiye neden oldu.
CISA ayrıca Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna CVE-2025-55182’yi ekleyerek federal kurumların Bağlayıcı Operasyonel Direktif 22-01 uyarınca 26 Aralık 2025’e kadar yama uygulamasını zorunlu kıldı.
React Server Bileşenlerini veya bunların üzerine inşa edilmiş çerçeveleri kullanan kuruluşlara, güncellemeleri hemen uygulamaları, uygulamalarını yeniden oluşturmaları ve yeniden konuşlandırmaları ve PowerShell veya kabuk komut yürütme işaretleri için günlükleri incelemeleri önerilir.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.