React Sunucu Bileşenlerindeki, CVE‑2025‑55182 (React2Shell) olarak takip edilen ve dünya çapında birçok endüstri sektöründeki şirketleri hedef alan kritik bir güvenlik açığından aktif olarak yararlanılması.
React2Shell, React Sunucu Bileşenleri için istemci-sunucu iletişimini kolaylaştıran Flight protokolünü etkiler.
Güvenlik açığı, güvenli olmayan seri durumdan çıkarma sunucularının, istemci verilerini uygun doğrulama olmadan kabul etmesinden ve belirli koşullar altında uzaktan kod yürütülmesine olanak sağlamasından kaynaklanmaktadır.
İlk olarak Aralık 2025’te tanımlanan kampanya, saldırganların yeni ortaya çıkan kusurları çeşitli kötü amaçlı yazılım yüklerini dağıtmak için ne kadar hızlı bir şekilde silah haline getirebileceğini gösteriyor.
Etkilenen paketler arasında react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack 19.0 ila 19.2.0 sürümleri yer alıyor. Yamalar 19.0.1, 19.1.2 ve 19.2.1 sürümlerinde mevcuttur.
Saldırı Kampanyaları ve Kötü Amaçlı Yazılımlar
BI.ZONE Tehdit Tespiti ve Müdahalesi, Rus sigorta, e-ticaret ve BT sektörlerini hedef alan çok sayıda saldırı dalgası tespit ederken, küresel kampanyalar başka yerlerdeki kuruluşları da vuruyor.
Saldırganlar, ele geçirilen kapsayıcılar içinde yürütülen Base64 kodlu komutlar aracılığıyla yükleri dağıtarak, systemd hizmetleri, cron işleri ve değiştirilmiş başlangıç komut dosyaları aracılığıyla kalıcılık sağlar.
XMRig Cryptocurrency Miner: Kalıcılık mekanizmaları oluşturan ve aşırı CPU kaynakları tüketen rakip süreçleri sona erdiren Bash komut dosyaları (apaches.sh, setup2.sh, sex.sh) aracılığıyla yüklenen, en sık kullanılan kötü amaçlı yazılım.
Kaiji Botnet: Mimariye özgü ELF yürütülebilir dosyaları (linux_386, linux_amd64) olarak konuşlandırılan bu Golang tabanlı botnet, SYN, ACK ve UDP taşmaları aracılığıyla DDoS saldırıları gerçekleştirir, isteğe bağlı kabuk komutlarını yürütür ve XMRig’i yerleştirir.
setup2.sh (Kaynak: Orta).Systemd hizmetleri, crontab görevleri, init.d komut dosyaları ve yasal sistem kitaplıkları olarak maskelenerek kalıcılık sağlar.
RustoBot: Rust’ta yazılan ve TOTOLINK cihazlarını hedefleyen bu botnet, alan adı çözümlemesi (ilefttotolinkalone.anondns) yoluyla C2 adreslerini alır.[.]ağ, dinlenme kemiği. Anonlar[.]net) ve UDP, TCP ve ham IP baskınları yoluyla yapılandırılabilir DDoS saldırıları gerçekleştirir.
Sliver Implant: d5.sh betiği aracılığıyla dağıtılan, /usr/bin/sshd-agent içindeki değişmez dosyalar veya root olmayan kullanıcılar için gizli dizinler aracılığıyla root ayrıcalıklarıyla kalıcılık sağlayan gelişmiş bir kalıcı tehdit aracı. İmplant keep.camdvr’a bağlanır[.]org komuta ve kontrol için.
CrossC2 Çerçevesi: Saldırganlar, sabit kodlu anahtarlarla AES-128-CBC şifrelemesini kullanarak UPX ile paketlenmiş Cobalt Strike işaret yüklerini (a_x86, a_x64) dağıtır. Çerçeve, 154.89.152 adresindeki C2 sunucusu aracılığıyla kullanım sonrası faaliyetleri mümkün kılar[.]240:443.
Taktik RMM: 156.67.221 adresinden indirilen uzaktan izleme ve yönetim araçları[.]96, saldırganların kalıcı yönetim erişimini sürdürmesine olanak tanıyor.
VShell Arka Kapı: Tespitten kaçmak için memfd_create aracılığıyla yürütülen, 0x99 anahtarıyla XOR kullanarak yüklerin şifresini çözen aşamalı yükleyiciler aracılığıyla sağlanan Go tabanlı arka kapı. Yapılandırma 107.173.89 sunucusunu içerir[.]153:60051 ve vkey “qwe123qwe111”.
EtherRAT: RPC uç noktaları aracılığıyla Ethereum akıllı sözleşmelerinden (0x22f96d61cf118efabc7c5bf3384734fad2f6ead4) C2 adreslerini alan yeni bir JavaScript tabanlı uzaktan erişim truva atı.
Kötü amaçlı yazılım, rastgele JS kodu çalıştırıyor, kripto para birimi cüzdanlarını, SSH anahtarlarını, bulut kimlik bilgilerini çalıyor ve trafiği harici alanlara yönlendirmek için nginx/Apache yapılandırmalarını değiştiriyor.
Azaltmalar
Saldırganlar, oastify kullanarak keşif verilerini sızdırmak için DNS tüneli kullanıyor[.]Komut yürütme sonuçlarını yakalamak için com alt etki alanları.
Keşif komut dosyaları sistem bilgilerini, ağ yapılandırmalarını ve çalışan süreçleri toplayarak verileri 109.238.92 gibi uç noktalara sızdırır.[.]111:8000/yükleme.
Saldırganlar ayrıca kalıcı erişim için yetkili_anahtarlar dosyalarına SSH anahtarları ekler ve tespit edilmekten kaçınmak için güvenlik izleme süreçlerini sonlandırır.
Kuruluşların, etkilenen tüm react-server-dom-* paketlerini derhal yamalı sürümlere (19.0.1, 19.1.2, 19.2.1 veya üzeri) güncellemesi gerekir. Next.js projeleri bu yamalı bağımlılıkları içerecek şekilde yükseltilmelidir.
Güncellemeden sonra projeleri yeniden oluşturun ve güvenlik açığı bulunan sürümlerin tamamen kaldırıldığından emin olmak için kilit dosyalarını doğrulayın.
Güvenlik ekipleri, IOC’lere yönelik sistemleri, özellikle de bilinen kötü amaçlı IP’lere (176.117.107) yönelik bağlantıları denetlemelidir.[.]154, 45.137.201[.]137, 103.135.101[.]15, 128.199.194[.]97, 216.158.232[.]43) ve etki alanlarını kontrol edin ve yetkisiz sistem hizmetleri veya cron işlerini izleyin.
React2Shell’in ifşa edildikten birkaç saat sonra hızlı bir şekilde silah haline getirilmesi, anında yama uygulanmasının ve kullanım sonrası aktivite için sürekli izlemenin kritik öneminin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.