ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumları son güncellemeyi düzeltmeye çağırdı React2Shell Yaygın istismar raporlarının ortasında, 12 Aralık 2025 itibarıyla güvenlik açığı.
CVE-2025-55182 (CVSS puanı: 10,0) olarak takip edilen kritik güvenlik açığı, React Server Components (RSC) Flight protokolünü etkiliyor. Sorunun altında yatan neden, bir saldırganın sunucunun ayrıcalıklı bir bağlamda yürüttüğü kötü amaçlı mantığı enjekte etmesine olanak tanıyan güvenli olmayan bir seri durumdan çıkarma işlemidir. Ayrıca Next.js, Waku, Vite, React Router ve RedwoodSDK gibi diğer çerçeveleri de etkiler.
Cloudflare’in tehdit istihbarat ekibi Cloudforce One, “Özel hazırlanmış tek bir HTTP isteği yeterlidir; kimlik doğrulama gereksinimi, kullanıcı etkileşimi veya yükseltilmiş izinler yoktur” dedi. “Başarılı olduğunda saldırgan, etkilenen sunucuda keyfi, ayrıcalıklı JavaScript çalıştırabilir.”
3 Aralık 2025’te kamuya açıklanmasından bu yana bu eksiklik, çeşitli kampanyalarda çok sayıda tehdit aktörü tarafından keşif çalışmalarında bulunmak ve çok çeşitli kötü amaçlı yazılım ailelerini dağıtmak için kullanıldı.
Bu gelişme, CISA’nın bunu geçtiğimiz Cuma günü Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğuna eklemesine yol açtı ve federal kurumlara düzeltmeleri uygulamaları için 26 Aralık’a kadar süre tanıdı. Son tarih, olayın ciddiyetinin bir göstergesi olarak 12 Aralık 2025 olarak revize edildi.
Bulut güvenlik şirketi Wiz, saldırıların büyük çoğunluğunun internete yönelik Next.js uygulamalarını ve Kubernetes’te ve yönetilen bulut hizmetlerinde çalışan diğer konteynerli iş yüklerini hedef aldığını ve bu kusurun “hızlı bir fırsatçı istismar dalgası” gözlemlediğini söyledi.
 |
| Görüntü Kaynağı: Cloudflare |
Devam eden istismar faaliyetlerini de takip eden Cloudflare, tehdit aktörlerinin React ve Next.js uygulamalarını çalıştıran açıkta kalan sistemleri bulmak için internet çapında tarama ve varlık keşif platformlarını kullanarak aramalar yaptığını söyledi. Özellikle, keşif çalışmalarından bazıları Çin IP adres alanlarını aramalarının dışında tuttu.
Web altyapı şirketi, “En yüksek yoğunluktaki araştırma, Tayvan, Sincan Uygur, Vietnam, Japonya ve Yeni Zelanda’daki (sıklıkla jeopolitik istihbarat toplama öncelikleriyle ilişkilendirilen bölgeler) ağlara karşı gerçekleşti” dedi.
Gözlemlenen faaliyetin ayrıca, daha seçici de olsa, hükümet (.gov) web sitelerini, akademik araştırma kurumlarını ve kritik altyapı operatörlerini hedef aldığı söyleniyor. Bu, uranyumun, nadir metallerin ve nükleer yakıtın ithalatı ve ihracatından sorumlu ulusal bir otoriteyi de içeriyordu.
Diğer dikkat çekici bulgulardan bazıları aşağıda listelenmiştir:
- Büyük ihtimalle tedarik zinciri saldırıları gerçekleştirmek amacıyla kurumsal şifre yöneticileri ve güvenli kasa hizmetleri gibi yüksek hassasiyetli teknoloji hedeflerine öncelik verilmesi
- Yönetim arayüzleri React tabanlı bileşenler içerebilen, uç noktaya bakan SSL VPN cihazlarını hedefleme
- Daha önce Asya’ya bağlı tehdit kümeleriyle ilişkilendirilen IP adreslerinden kaynaklanan erken tarama ve istismar girişimleri
Kaspersky, bal küpü verilerine ilişkin kendi analizinde, 10 Aralık 2025’te tek bir günde 35.000’den fazla istismar girişimi kaydettiğini, saldırganların önce whoami gibi komutları çalıştırarak sistemi incelediğini, ardından kripto para madencilerini veya Mirai/Gafgyt çeşitleri ve RondoDox gibi botnet kötü amaçlı yazılım ailelerini bıraktığını söyledi.
Güvenlik araştırmacısı Rakesh Krishnan ayrıca “154.61.77” adresinde barındırılan açık bir dizin keşfetti.[.]105:8082″, diğer iki dosyayla birlikte CVE-2025–55182 için bir kavram kanıtlama (PoC) istismar komut dosyası içerir –
- 35.423 alanın listesini içeren “domains.txt”
- Dia Tarayıcı, Starbucks, Porsche ve Lululemon gibi şirketlerin de aralarında bulunduğu 596 URL’nin listesini içeren “next_target.txt”
Kimliği belirlenemeyen tehdit aktörünün, ikinci dosyaya eklenen hedeflere göre aktif olarak interneti taradığı ve bu süreçte yüzlerce sayfaya bulaştığı değerlendirildi.
The Shadowserver Foundation’ın en son verilerine göre, 11 Aralık 2025 itibarıyla 137.200’den fazla internete açık IP adresi savunmasız kod çalıştırıyor. Bunların 88.900’den fazlası ABD’de bulunuyor ve onu Almanya (10.900), Fransa (5.500) ve Hindistan (3.600) takip ediyor.