Son günlerde, 77,000’den fazla internet erişimine açık IP adresinin kritik bir uzaktan kod çalıştırma açığı olan React2Shell’a (CVE-2025-55182) maruz kaldığı doğrulandı. Araştırmacılar, bu açığın zaten 30’dan fazla kuruluşun siber güvenliğini tehdit ettiğini ve saldırganların bu kuruluşlara sızdığını bildirdi.
React2Shell Açığının Özellikleri
React2Shell, herhangi bir kimlik doğrulama gerektirmeden uzaktan kod çalıştırılmasına olanak tanıyan bir açıdır. Bu açık, React Server Components’ı kullanan tüm framework’leri, örneğin Next.js’i etkiler. Açığın temel sebebi, React Server Components içinde istemci kontrollü verilerin güvensiz bir şekilde serileştirilmesidir. Bu durum, saldırganların uzaktan ve kimlik doğrulama olmadan istedikleri komutları çalıştırmalarına olanak tanır.
React, bu açığı 3 Aralık 2025 tarihinde duyurdu ve geliştiricilerin yazılımlarını en son sürüme güncelleyip yeniden dağıtmaları gerektiğini vurguladı.
Açığın Ölçeği: 77,000’den Fazla IP Adresi
Shadowserver, bu açığın tespit edildiği 77,664 IP adresinin bulunduğunu bildirdi. Bu adreslerin yaklaşık 23,700’ü Birleşik Devletler’de bulunmaktadır. Araştırmacılar, bu adreslerin açığa karşı duyarlılığını belirlemek için geliştirilen bir teknikle HTTP istekleri gönderdi ve belirli yanıtları kontrol ederek sistemin etkilenip etkilenmediğini tespit etti.
GreyNoise, son 24 saatte açığı kullanmaya çalışan 181 farklı IP adresinin kaydını tuttu. Gelen trafiğin çoğunun otomatik olduğu ve Hollanda, Çin, ABD, Hong Kong gibi ülkelerden geldiği gözlemlendi.
React2Shell Açığı ile İlgili Saldırılar
Palo Alto Networks, React2Shell açığını kullanarak daha önce 30’a yakın kuruluşun siber güvenliğini ihlal eden saldırganların, uzaktan komut çalıştırdığı ve AWS yapılandırma ile kimlik dosyalarını çalmaya çalıştığını bildirdi. Bu ihlallerin bazıları, devlet destekli Çinli tehdit aktörleri ile bağlantılı olarak kaydedilmiştir.
Açığın ifşasından bu yana, araştırmacılar ve tehdit istihbarat firmaları, CVE-2025-55182 açığının yaygın şekilde kullanıldığını gözlemledi. GreyNoise, genellikle saldırganların ilk olarak PowerShell komutları kullanarak sistemin açığa karşı savunmasız olup olmadığını kontrol ettiğini bildirdi. Bu süreçte yapılan testler, tahmin edilebilir sonuçlar vererek iz bırakmadan açık tespit edilmeye olanak tanır.
Yaygın Saldırı Yöntemleri
Saldırganlar, uzaktan kod çalıştırma doğrulandığında, base64 kodlu PowerShell komutları çalıştırarak bellek içine ek skriptler indiriyor. Örneğin, saldırganlar bir dış siteden ikinci aşama PowerShell skripti çalıştırdıklarında endpoint güvenliğini atlatmak amacıyla belirli programları devre dışı bırakma girişiminde bulunuyor.
Amazon AWS, React açığının duyurulmasından saatler sonra, bu durumu hızla sömüren altyapılara karşı izleme başlattı. Buna ek olarak, Palo Alto Networks tarafından yapılan gözlemler, bazı saldırıların Çin Hükümeti’ne bağlı UNC5174 grubu tarafından gerçekleştirildiğini gösteriyor.
Patching Süreci ve Öneriler
React açığının ciddiyeti nedeniyle, dünya genelindeki şirketler bu açığı kapatmak için yazılımlarını güncellemeye ve güvenlik tedbirleri almaya hızla çalışıyor. Cloudflare, kritik açığın yaygın olarak kullanılmasından dolayı acil tespit ve tedbirler uyguladı fakat güncellemenin bazı web sitelerinde kesintilere neden olduğu da haberlere yansıdı.
Federal ajanslar, CVE-2025-55182’nin Bilinen Sömürülen Açıklar (KEV) kataloğuna eklenmesi ile birlikte, 26 Aralık 2025’e kadar güncellemeleri uygulamak zorundalar. React Server Components veya bu bileşenleri kullanan framework’lerle çalışan kuruluşlar, güncellemeleri hemen uygulamalı, uygulamalarını yeniden inşa etmeli ve komut yürütme izlerini kontrol etmelidir.
