React2Shell Açığı: Tehdit ve Sonuçları
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 12 Aralık 2025 tarihine kadar, son zamanlarda ortaya çıkan React2Shell açığını kapatmak üzere federal ajanslara acil bir çağrıda bulundu. CVE-2025-55182 numarasıyla bilinen bu kritik açık, React Server Components (RSC) Flight protokolünü etkileyerek ciddi bir tehdit oluşturmaktadır.
Açığın Detayları
Açığın temel nedeni, saldırganların kötü niyetli mantık enjekte etmesine olanak tanıyan güvensiz bir serileştirmedir. Bu durum, etkilenmiş sunucuda yetkili bir bağlamda kod çalıştırılmasına neden olmaktadır. Risk, yalnızca React değil, aynı zamanda Next.js, Waku, Vite, React Router ve RedwoodSDK gibi diğer çerçeveleri de kapsamaktadır.
Cloudflare’ın tehdit istihbarat ekibi Cloudforce One, “Tek bir özel olarak hazırlanmış HTTP isteği yeterlidir ve kimlik doğrulama ya da kullanıcı etkileşimi gerekmemektedir” diyerek durumun ciddiyetini vurgulamaktadır.
Yaygın Kullanım ve Saldırılar
3 Aralık 2025’te kamuya açıklanan bu açık, birçok tehdit aktörü tarafından farklı kampanyalarda aktif olarak kullanılmaya başlandı. CISA, açığı bilinen istismar edilen zafiyetler kataloğuna ekleyerek, federal ajansların belirtilen tarihe kadar düzeltmeleri uygulamalarını istemiştir.
Cloudflare, internet üzerindeki tarama ve varlık keşif platformları aracılığıyla saldırganların, React ve Next.js uygulamalarını barındıran sistemleri hedef aldığına dikkat çekmektedir. Özellikle, yapılan araştırmalar arasında Çin IP adres alanlarının dışlandığı belirtilmiştir. Bunun yanı sıra, Tayvan, Vietnam, Japonya ve Yeni Zelanda gibi bölgelerde yoğun tarama faaliyetlerinin olduğu bildirilmektedir.
Açığın Sonuçları ve Önlemler
Birçok saldırı dalgası, internetin karşısında bulunan Next.js uygulamalarını ve Kubernetes üzerinde çalışan konteynerleştirilmiş iş yüklerini hedef almıştır. Wiz, açıkla ilgili hızla yaygın bir sömürü dalgası gözlemlediklerini ifade etmiştir. 10 Aralık 2025’te Kaspersky, bir günde 35,000’den fazla sömürü girişimi kaydetmiştir. Saldırganlar, sistemlere ilk olarak “whoami” gibi komutlar çalıştırarak ulaşmaya çalışmakta ve ardından kripto para madencileri veya botnet malware türleri bırakmaktadır.
Gelecekteki Tehditler
Gizli tehdit aktörlerinin hedef listesi, yüksek hassasiyet teknolojileri ve kritik altyapı operatörlerini içermektedir. Hedefler arasında bir ulusal otorite, uranyum ve nükleer yakıt ihracı ile ilgili de bulunuyor. Kayıtlı IP adresleri, daha önce Asya ile ilişkili tehdit kümeleriyle bağlantılı olduğundan, bu durum siber güvenlik açısından önemli bir tehdit oluşturmaktadır.
Son veriler, 11 Aralık 2025 itibarıyla 137,200 internetten erişilen IP adresinin açık olan kodu çalıştırdığını göstermektedir. ABD, bu adreslerin çoğunluğuna ev sahipliği yaparken, bunu Almanya, Fransa ve Hindistan izlemektedir.
Sonuç
React2Shell açığı, dikkate alınmadığında büyük hasara yol açabilecek bir tehdit oluşturmaktadır. Kullanıcılar ve organizasyonlar, bu tür zayıflıkları göz önünde bulundurarak güvenlik önlemlerini almalı ve bu tür kritik güncellemeleri ihmal etmemelidir.
