React2Shell Güvenlik Açığı: Linux Arka Kapıları İçin Tehditler
React2Shell Nedir?
Güvenlik dünyasında son dönemde öne çıkan bir sorun, React2Shell adındaki bir güvenlik açığıdır. Palo Alto Networks Unit 42 ve NTT Security tarafından yapılan araştırmalara göre, bu açık kötü niyetli aktörler tarafından KSwapDoor ve ZnDoor gibi kötü amaçlı yazılımlar dağıtmak için kullanılıyor.
KSwapDoor ve ZnDoor Nedir?
KSwapDoor, hedef makinelerde uzaktan erişim sağlamak için tasarlanmış etkili bir araçtır. Justin Moore, Palo Alto Networks’te tehdit istihbarat araştırma müdürü, bu malware’ın “gizlilik ön planda olacak şekilde profesyonelce tasarlandığını” belirtiyor. KSwapDoor, etkilenen sunucular arasında iletişim kuran bir iç ağ oluşturur ve bu sayede güvenlik engellerini aşabilir. Askeri düzeyde şifreleme kullanarak iletişimlerini gizler ve “uyku” modu gibi özelliklere sahiptir; bu, saldırganların kötü amaçlı yazılımı, görünmez bir sinyalle uyandırarak güvenlik duvarlarını atlatmalarına olanak tanır.
İşleyişi ve Etkileri
NTT Security, Japonya’daki kuruluşların React2Shell açığını kullanarak ZnDoor saldırılarına maruz kaldığını bildiriyor. Bu tür saldırıların bir örneği, uzaktaki bir sunucudan bir yükü almak için wget komutunu kullanarak bir bash komutunun yürütülmesini içeriyor. ZnDoor, uzaktan erişim trojanıdır ve saldırganların talimat göndermelerine ve bunları kurulumun üzerinde yürütmelerine imkan tanır.
Tehditler ve İstismar
CVE-2025-55182 gibi güvenlik açıkları, bu tür istismarların temelini oluşturuyor. Google, bu açığı kullanarak bir dizi kötü amaçlı yazılım dağıtan en az beş Çin kökenli grubun bulunduğunu belirtti. Bu gruplar arasında:
- UNC6600: MINOCAT isimli bir tünel aracı dağıtıyor.
- UNC6586: SNOWLIGHT isimli bir indirme aracı kullanıyor.
- UNC6588: COMPOOD isimli bir arka kapı sağlıyor.
- UNC6603: güncellenmiş bir Go arka kapısı olan HISONIC’i kullanıyor.
- UNC6595: ANGRYREBEL’ın Linux versiyonunu gönderiyor.
Microsoft, bu açığı kullanarak saldırganların çeşitli zararlı yazılımlar dağıttığını ve sistemlerde ters bağlantılar kurup, uzaktan yönetim araçları yüklediklerini duyurdu.
Kimler Hedef Alınıyor?
Shadowserver Vakfı, şu anda 111,000’den fazla React2Shell saldırısına maruz kalan IP adresini takip ediyor. ABD, 77,800 örnekle başı çekerken, onu Almanya, Fransa ve Hindistan gibi ülkeler izliyor. GreyNoise verileri, son 24 saat içinde çeşitli ülkelerden 547 kötü niyetli IP adresinin saldırılara katıldığını gösteriyor.
Sonuç
React2Shell açığı, siber güvenlikte ciddi bir tehdit oluşturmaktadır. Bu tür güvenlik açıklarına karşı alacaklı olduğumuz tedbirler, sistemlerimizin güvenliğini artırmak için kritik önem taşımaktadır. Kullanıcıların ve sistem yöneticilerinin bu tür tehditlerden haberdar olması, gelecekteki potansiyel saldırıları önlemek açısından hayati bir önem taşımaktadır.
