Geçtiğimiz hafta sonu, Google’ın tehdit istihbarat ekibi, beş yeni Çinli hack grubunu, React2Shell uzaktan kod yürütme açığını kullanarak gerçekleştirdikleri saldırılara bağladı. Bu açık, CVE-2025-55182 olarak takip edilmektedir ve React açık kaynaklı JavaScript kütüphanesini etkileyerek, kimlik doğrulaması yapılmamış saldırganların React ve Next.js uygulamalarında tek bir HTTP isteği ile rastgele kod yürütmesine imkân vermektedir.
React2Shell Açığı ve Etkileri
Birçok React paketi (örn. react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack) varsayılan yapılandırmalarında bu açıktan etkilenmektedir. Ancak bu güvenlik açığı, geçen yıl içerisinde piyasaya sürülen React’in 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerini etkilemektedir. Palo Alto Networks, saldırıların başlamasından sonra, birçok kuruluşun hedef alındığını, bunlar arasında Çin devlet destekli tehdit aktörlerinin de bulunduğunu bildirmiştir. Saldırganlar, açığı kullanarak komut yürütmekte ve AWS konfigürasyon dosyaları, kimlik bilgileri ve diğer hassas bilgileri çalmaktadır.
Amazon Web Services (AWS) güvenlik ekibi de, Çin ile bağlantılı Earth Lamia ve Jackpot Panda isimli tehdit aktörlerinin, açığın duyurulmasından birkaç saat sonra React2Shell’ü kullanmaya başladıklarını bildirmiştir.
Yeni Tehdit Grupları Ortaya Çıkıyor
Google Tehdit İstihbarat Grubu (GTIG), 3 Aralık’ta açığın kamuya açıklanmasının ardından React2Shell saldırılarına katılan en az beş yeni Çin siber casusluk grubunu tespit ettiğini duyurdu. Bu gruplar arasında UNC6600, UNC6586, UNC6588, UNC6603 ve UNC6595 yer almaktadır. Bu grupların kullanmakta olduğu yazılımlar arasında MINOCAT tünelleme yazılımı, SNOWLIGHT indirgici, COMPOOD arka kapı yükü ve HISONIC arka kapısının güncellenmiş versiyonu bulunmaktadır.
GTIG araştırmacıları, “React Server Components (RSC) gibi popüler çerçevelerdeki kullanımlar nedeniyle, bu sorun karşısında bir dizi sistemin açıkta kaldığını” belirtmiştir. Ayrıca, çeşitli yeraltı forumlarında CVE-2025-55182 hakkında çok sayıda tartışma ve tehdit aktörlerinin tarama araçları ve kanıt niteliğindeki kodları paylaştığı tespit edilmiştir.
Diğer Tehditler ve Gözlemler
GTIG, İranlı tehdit aktörlerinin de bu açığı hedef aldığına dair bulgular elde etmiştir. Ayrıca, maddi menfaat güden saldırganların, yamanmamış sistemlerde XMRig kripto para madencilik yazılımı dağıttığı görülmüştür. Shadowserver internet gözetim grubu, React2Shell saldırılarına yönelik 116,000’den fazla IP adresini takip etmektedir; bu IP adreslerinin 80,000’den fazlası ABD’den gelmektedir.
GreyNoise, son 24 saat içinde React2Shell uzaktan kod yürütme açığını kullanmaya çalışan 670’den fazla IP adresinin tespit edildiğini ve bu IP’lerin çoğunun ABD, Hindistan, Fransa, Almanya, Hollanda, Singapur, Rusya, Avustralya, Birleşik Krallık ve Çin gibi ülkelerden geldiğini bildirmiştir. 5 Aralık’ta Cloudflare, React2Shell açığı için acil önlemler alındığını belirterek küresel bir web kesintisini ilişkilendirmiştir.
Büyüyen bu tehditler, web uygulama güvenliğinin önemini bir kez daha gözler önüne sermektedir. Geliştiricilerin ve şirketlerin, güncellemeleri takip etmeleri ve güvenlik önlemlerini artırmaları büyük bir gereklilik haline gelmiştir.
