Çin bağlantılı çok sayıda tehdit aktörü, maksimum ciddiyet sorununun açıklanmasından yalnızca birkaç saat sonra React ve Next.js’yi etkileyen React2Shell güvenlik açığından (CVE-2025-55182) yararlanmaya başladı.
React2Shell, React Server Components (RSC) ‘Flight’ protokolündeki güvenli olmayan bir seri durumdan çıkarma güvenlik açığıdır. Bundan yararlanmak, kimlik doğrulama gerektirmez ve sunucunun bağlamında JavaScript kodunun uzaktan yürütülmesine olanak tanır.
Next.js çerçevesi için CVE-2025-66478 tanımlayıcısı vardır, ancak takip numarası Ulusal Güvenlik Açığı Veritabanının CVE listesinde CVE-2025-55182’nin kopyası olarak reddedilmiştir.
Güvenlik sorunundan yararlanmak kolaydır ve çeşitli kavram kanıtlama (PoC) istismarları zaten yayınlanmıştır, bu da ilgili tehdit faaliyeti riskini artırmaktadır.
Güvenlik açığı, yaygın olarak kullanılan kitaplığın çeşitli sürümlerini kapsıyor ve potansiyel olarak binlerce bağımlı projeyi açığa çıkarıyor. Wiz araştırmacıları gözlemleyebildikleri bulut ortamlarının %39’unun React2Shell saldırılarına açık olduğunu söylüyor.
React ve Next.js güvenlik güncellemeleri yayınladı ancak sorun, kimlik doğrulaması olmadan ve varsayılan yapılandırmada önemsiz derecede istismar edilebilir.
React2Shell saldırıları sürüyor
Amazon Web Services (AWS) tarafından hazırlanan bir rapor, Çin bağlantılı Earth Lamia ve Jackpot Panda tehdit aktörlerinin, kamuya açıklandıktan hemen sonra React2Shell’den yararlanmaya başladığı konusunda uyarıyor.
AWS raporunda “CVE-2025-55182’nin (React2Shell) 3 Aralık 2025’te kamuya açıklanmasından birkaç saat sonra Amazon tehdit istihbarat ekipleri, Earth Lamia ve Jackpot Panda da dahil olmak üzere Çin eyaletiyle bağlantılı çok sayıda tehdit grubunun aktif istismar girişimlerini gözlemledi” ifadesine yer verildi.
AWS’nin bal küpleri, bilinen herhangi bir kümeye atfedilmeyen ancak yine de Çin merkezli altyapıdan kaynaklanan etkinlikleri de yakaladı.
Saldıran kümelerin çoğu aynı anonimleştirme altyapısını paylaşıyor; bu da bireyselleştirilmiş izlemeyi ve spesifik ilişkilendirmeyi daha da karmaşık hale getiriyor.
Tanımlanan iki tehdit grubuyla ilgili olarak Earth Lamia, web uygulaması güvenlik açıklarından yararlanmaya odaklanıyor.
Tipik hedefler arasında Latin Amerika, Orta Doğu ve Güneydoğu Asya’daki finansal hizmetler, lojistik, perakende, BT şirketleri, üniversiteler ve devlet sektörlerindeki kuruluşlar yer almaktadır.
Jackpot Panda’nın hedefleri genellikle Doğu ve Güneydoğu Asya’da bulunuyor ve saldırıları, yolsuzluk ve iç güvenlik konularında istihbarat toplamayı amaçlıyor.
PoC’ler artık mevcut
React2Shell’i keşfeden ve bildiren araştırmacı Lachlan Davidson, internette dolaşan sahte istismarlara karşı uyardı. Ancak Rapid7 araştırmacısı Stephen Fewer ve Elastic Security’den Joe Desimone tarafından geçerli olduğu onaylanan istismarlar GitHub’da ortaya çıktı.
AWS’nin gözlemlediği saldırılar, hedeflenen ortamlara yönelik yinelemeli manuel testler ve gerçek zamanlı sorun giderme işlemlerinin yanı sıra, bozuk olanlar da dahil olmak üzere herkese açık açıklardan yararlanıyor.
Gözlemlenen etkinlik, farklı yüklerle tekrarlanan girişimleri, Linux komut yürütmesini (vay be, İD), dosyalar oluşturmaya çalışır (/tmp/pwned.txt) ve okumaya çalışır ‘/etc/passwd/.’
AWS araştırmacıları, “Bu davranış, tehdit aktörlerinin yalnızca otomatik taramalar yürütmekle kalmayıp, aynı zamanda canlı hedeflere karşı kullanım tekniklerinde aktif olarak hata ayıklama ve iyileştirme yaptıklarını gösteriyor” yorumunu yaptı.
Saldırı yüzeyi yönetimi (ASM) platformu Assetnote, GitHub’da bir ortamın React2Shell’e karşı savunmasız olup olmadığını belirlemek için kullanılabilecek bir React2Shell tarayıcısını yayınladı.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.