Microsoft araştırmacıları, React Server Bileşenlerindeki kritik bir güvenlik açığından yararlanılarak çok çeşitli kuruluşlardaki “birkaç yüz makinenin” ele geçirildiği konusunda uyardı. Pazartesi günü yayınlanan bir blog gönderisine göre.
Şu şekilde izlenen güvenlik açığı: CVE-2025-55182kimliği doğrulanmamış bir saldırganın, React Server Function uç noktalarına gönderilen yüklerin güvenli olmayan şekilde seri durumdan çıkarılması nedeniyle uzaktan kod yürütmesine olanak tanır.
React, kullanıcı arayüzleri oluşturmak için kullanılan bir JavaScript kütüphanesidir. React Server Components, bloga göre React 19 uygulamalarının mantıklarının bir kısmını tarayıcı yerine sunucuda çalıştırmasına olanak tanıyan çerçeveler, paketler ve paketleyicilerden oluşan bir ekosistemdir.
React2Shell olarak adlandırılan kusurun ciddiyet puanı 10’dur ve varsayılan yapılandırmalar savunmasız kabul edildiğinden kötüye kullanılması kolay kabul edilir.
Microsoft, çerçevenin kurumsal ortamlarda yaygın olarak kullanıldığını ve React kullanan birkaç bin kuruluşta veya React’i temel alan uygulamalarda on binlerce cihazın çalıştığını belirtti.
Google Tehdit İstihbaratı Grubundaki araştırmacılar Cuma günü yayınlanan bir blog yazısında birden fazla casusluk aktörünün ve fırsatçı suç grubunun React2Shell’i hedefledik.
GTIG’ye göre, UNC6600 olarak takip edilen Çin bağlantılı bir casusluk grubu, saldırganların güvenliği ihlal edilmiş bir sistemle gizli iletişimi sürdürmesine yardımcı olan Minocat tünelleyicisini sunmak için bu kusurdan yararlanıyor..
Ayrıca, Çin’e bağlı diğer iki tehdit aktörünün (UNC6588 ve UNC6603) güvenlik açığını hedef alan saldırılarda kurban sistemlerine arka kapılar açtığı tespit edildi.
GTIG araştırmacıları ayrıca İran bağlantılı olduğundan şüphelenilen aktörlerin bu kusurdan yararlandığını gözlemledi ancak bu faaliyet hakkında ek ayrıntı vermediler.
Bu arada Palo Alto Networks’teki araştırmacılar KSwapDoor adı verilen yeni bir arka kapının gözlemlenen dağıtımıprofesyonelce tasarlanmış bir uzaktan erişim aracıdır. Araştırmacılara göre araç, ele geçirilen sunucuların birbirleriyle iletişim kurmasına olanak tanıyan dahili bir ağ oluşturmak için kullanılıyor.
Microsoft’a göre saldırganların, React2Shell saldırılarında bilinen Cobalt Strike sunucularına ters mermiler de dahil olmak üzere rastgele komutlar çalıştırdıkları görüldü. Kalıcılık kazanmak için MeshAgent da dahil olmak üzere uzaktan izleme ve yönetim araçlarını kullandılar.
Bulut kimlik bilgileri hırsızlığı
Microsoft, Azure için Azure Örnek Meta Veri Hizmeti uç noktaları, Amazon Web Hizmetleri, Google Bulut Platformu ve Tencent Cloud dahil olmak üzere bulut hizmeti kimlik bilgilerinin saldırı dalgasında hedef alındığını söyledi.
Şirket, istismar faaliyetinin 5 Aralık gibi erken bir tarihte başladığını söyledi. Güvenlik açığının, Kasım ayının sonlarında güvenlik araştırmacısı Lachlan Davidson’un tepkisi Meta Bug Bounty programı aracılığıyla.
React, bu ayın başlarında orijinal kusur için bir yama yayınladı. ancak geçen hafta sonlarında dahil olmak üzere ek kusurlar açıklandı CVE-2025-55814 Ve CVE-2025-67779.