Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Vercel, React Server Bileşenlerinde 2 Güvenlik Açığının Daha Düzeltilmesi Gerektiğini Uyardı
Mathew J. Schwartz (euroinfosec) •
15 Aralık 2025
Uzmanlar, React2Shell güvenlik açığının Çin, Kuzey Kore ve İran’a bağlı ulus devlet korsanlarının yanı sıra finansal motivasyona sahip siber suçlular tarafından kitlesel olarak istismar edildiği konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
CVE-2025-55182 olarak takip edilen güvenlik açığı, Meta tarafından geliştirilen açık kaynaklı React çerçevesinin Kasım 2024’te yayımlanan 19 sürümünden bu yana tüm sürümlerini etkiliyor.
Tehdit istihbarat firması Huntress, 3 Aralık’ta yamanın kamuya açıklanmasının ardından, inşaat ve eğlence sektörleri de dahil olmak üzere React2Shell’i hedef alan saldırıların 8 Aralık’ta artış gösterdiğini söyledi.
Tehdit istihbaratı şirketi GreyNoise, yalnızca Pazar günü React2Shell’den yararlanmaya çalışan 669 farklı, benzersiz IP adresini gözlemledi. Firma, yaklaşık 2.300 farklı IP adresine yönelik saldırıları takip etti; bunların %70’i yalnızca 4 Aralık’ta veya sonrasında ortaya çıktı; aynı gün çalışarak, kavram kanıtı istismarlarının çevrimiçi olarak görünmeye başladığı gün oldu.
Saldırganların, ilk kimlik doğrulaması yapmak zorunda kalmadan, savunmasız bir sunucuda uzaktan yürütme yapmak için bu güvenlik açığından kolayca yararlanabilmeleri nedeniyle, bilgisayar korsanlarının bu kusura olan ilgisi yüksektir. Google Cloud’daki tehdit istihbaratı araştırmacıları, “Kusur, kimliği doğrulanmamış saldırganların, etkilenen web sunucusu işlemini çalıştıran kullanıcının ayrıcalıklarıyla rastgele kod yürüten tek bir HTTP isteği göndermesine olanak tanıyor” dedi.
Siber güvenlik firması Wiz, gözlemlenen saldırıların “fırsatçı kripto madenciler ve ‘parçala ve yakala’ kimlik bilgileri toplamadan, Sliver implantlarını kullanan karmaşık, kalıcı arka kapılara kadar” değiştiğini söyledi. Sliver, komuta ve kontrol amacıyla tasarlanmış, açık kaynaklı, platformlar arası bir kötü amaçlı yazılımdır.
Potansiyel saldırı yüzeyi yüksektir. React, aralarında Airbnb, Meta, Netflix, Shopify ve Uber’in de bulunduğu dünyanın en iyi 10.000 web sitesinin tahminen beşte ikisi tarafından kullanılıyor. Saldırganlar, görev açısından kritik kurumsal uygulamaları ve e-ticaret platformlarını destekleyen çerçeveleri çalıştıran bulut ortamlarını ve iş yüklerini doğrudan hedefliyor.
Etkilenen web paketi, paket ve turbo paket paketlerini kullanan diğer çerçeveler arasında dosya sistemi tabanlı Uygulama Yönlendiricisi yer alır. Next.js çerçeve sürümleri 15.x ve 16.x. Açık kaynaklı React başlangıçta Meta tarafından geliştirildi, ancak temel geliştirmesi artık React dağıtım hizmetleri de satan Vercel adlı bir firma tarafından yürütülüyor.
VulnCheck Cuma günü yaptığı açıklamada, “gerçek bir yararlanma kodu gibi davranan yapay zeka tarafından oluşturulan saçmalık” çevrimiçi ortamda çoğalırken, farklı dillerde en az üç PoC’nin geliştirildiğini söyledi: Python, JavaScript ve bash. “Bu karışım, yalnızca React2Shell’i deneyen geliştiricilerin çeşitliliğini değil, aynı zamanda birinin tercih ettiği dilde yeniden uygulamayı kolaylaştıran temel istismarın basitliğini de yansıtıyor” dedi.
5 Aralık’ta Vercel, Vercel tarafından kurulan web uygulaması güvenlik duvarını aşabilen her araştırmacı için HackerOne tarafından yönetilen bir genel hata ödül programını başlattı. Program, yalnızca Vercel’in WAF’ını atlamak amacıyla React2Shell’in başarılı bir şekilde kullanılmasına yöneliktir.
Saldırı Etkinliği
Pek çok saldırının ulus devlet gruplarına dayandığı görülüyor. Palo Alto Networks’ün Birim 42 tehdit istihbarat ekibindeki araştırmacılar, kimlik bilgisi hırsızlığı saldırılarını, Pekin Devlet Güvenlik Bakanlığı ile yakın bağları olan bir ilk erişim komisyoncusu gibi görünen CL-STA-1015 olarak takip ettiği bir tehdit kümesine bağladığını söyledi.
Bulut güvenlik firması Sysdig, 8 Aralık’ta bilgisayar korsanlarının, React2Shell güvenlik açığından yararlanmak ve EtherRAT olarak izlenen yeni, uzaktan erişimli bir Truva atı dağıtmak için Kuzey Kore tehdit aktörleriyle yakından bağlantılı araçları kullandıkları konusunda uyardı (bkz: İhlal Özeti: Kuzey Kore Bağlantılı EtherRAT, React2Shell’i Hedefliyor).
Amazon Web Services daha önce Earth Lamia ve Jackpot Panda olarak takip ettiği Çin bağlantılı grupların bu güvenlik açığından yararlandığını bildirmişti.
Google Tehdit İstihbarat Grubu araştırmacıları ayrıca, UNC5454 olarak takip ettiği Earth Lamia dahil “Çin bağlantılı birden fazla tehdit kümesine” ve İran bağlantılı saldırganlara atfedilen saldırıları gördüklerini de bildirdi.
Çin’deki faaliyetlerin bir kısmı, açık kaynaklı, çok platformlu bir arka kapı olan VShell’i sunuculara aktaran bir SnowLight indiricisi ile sistemlere bulaşmayı içeriyor. Diğer saldırılarda araştırmacılar, UNC6588 olarak takip edilen Çin uyumlu bir faaliyetin, “tarihsel olarak Çin-nexus casusluk faaliyetleriyle bağlantılı olduğundan şüphelenilen” bir Pood arka kapı yükünü ittiğini söyledi.
Araştırmacılar ayrıca, saldırılarını ilerletmek için Cloudflare Pages ve GitLab gibi meşru bulut hizmetlerini kullanmak üzere tasarlanan Go tabanlı Hisonic arka kapısının yeni bir sürümünü dağıtan UNC6603 olarak takip edilen tehdit etkinliğini de gördü. Araştırmacılar, “Telemetri, bu aktörün Asya-Pasifik bölgesindeki bulut altyapısını, özellikle de AWS ve Alibaba Cloud örneklerini hedef aldığını gösteriyor” dedi.
Güçlü Siber Suç İlgisi
Google Tehdit İstihbarat Grubu, araştırmacıların ayrıca yer altı forumlarında bu güvenlik açığından nasıl yararlanılacağına dair “tarama araçlarına paylaşılan bağlantılar, kavram kanıtı kodu ve bu araçları kullanma deneyimleri” de dahil olmak üzere kapsamlı konuşmalar gördüklerini söyledi.
Finansal motivasyona sahip saldırganların, bulut iş yüklerini kullanarak yürütülen kripto madencilik kampanyaları için 5 Aralık’tan itibaren bu kusuru hedeflemeye başladıkları görüldü. Birden fazla firma, XMRig kripto para madenciliği kötü amaçlı yazılımının kullanımını içeren ilk olayları takip etti.
GreyNoise, yakın zamanda, uzaktan makine yönetimi için tasarlanmış açık kaynaklı bir platform olan MeshCentral’ı devre dışı bırakmak için istismar hedeflerinin kullanıldığını gördüğünü söyledi.
GreyNoise, saldırganların, virüslü bir sistem üzerinde “uzun vadeli kontrol” sağlamak için genellikle meşru RMM araçlarını C2 aracıları olarak kullandıklarını ve bu tür saldırıların geçtiğimiz yıl boyunca arttığını söyledi. GreyNoise, bu tür saldırıların takip edilmesinin zor olabileceğini, çoğu izlemenin “tek kullanımlık” veya hızlı akışlı altyapıya yapıldığını, bunun da “alanı engellenenler listesine eklediğinizde üç tane daha ortaya çıktığı” anlamına geldiğini söyledi.
Huntress, takip ettiği bazı saldırıların, BitTorrent’in dağıtılmış karma tablo ağını geri dönüş komuta ve kontrol mekanizması olarak kullanan ve “geleneksel alan adı kaldırma işlemlerine karşı dirençli hale getiren” PeerBlight kod adlı yeni tür arka kapı kötü amaçlı yazılımını kullandığını söyledi.
Huntress, diğer izinsiz girişlerin, sunuculara Kaiji botnet’in bir çeşidini bulaştırması nedeniyle dağıtılmış hizmet reddi saldırı sağlayıcılarını desteklediği görülüyor; “bu, DDoS yeteneklerini kalıcılık mekanizmalarıyla ve donanım gözlemcisinin kötüye kullanımıyla birleştirerek, yükün kesilmesi halinde sistemi yeniden başlatmaya zorlar.” dedi Huntress.
Daha Fazla Güvenlik Açığı
Perşembe günü Vercel, React’te ve onu kullanan çerçevelerde iki güvenlik açığının daha olduğu konusunda uyardı: Next.jsgüvenlik topluluğu tarafından keşfedildi.
React Server Bileşenlerindeki kusurlar arasında kritik düzeyde hizmet reddi güvenlik açığı CVE-2025-55184 ve orta düzeyde kaynak koduna maruz kalma CVE-2025-55183 yer alıyor.
CVE-2025-55184’e yönelik ilk düzeltme, sorunu tam olarak gideremedi ve CVE-2025-67779 olarak takip edilen başka bir güvenlik açığıyla sonuçlandı.
Güvenlik açıkları React sürümlerini etkiliyor 19.0.0 başından sonuna kadar 19.2.1 Ve Next.js versiyonlar 13.x başından sonuna kadar 16.x. Vercel, “Etkilenen bir sürümü çalıştırıyorsanız, mevcut diğer korumalara bakılmaksızın hemen yükseltme yapın” dedi.