CVE-2025-55182 olarak bilinen kritik React2Shell açığı, siber suçluların kurumsal ağlara hızla sızmasına olanak tanıyor. Açık, özellikle Weaxor fidye yazılımı gibi tehdit gruplarının ilk erişimi sağlamak için kullandığı bir giriş kapısı niteliği taşıyor. Sadece bir dakika içinde dosyaları şifreleyen kötü amaçlı yazılımı dağıtabiliyor.
React2Shell Açığının Teknik Detayları
React2Shell, React kütüphanesi ve Next.js framework’ü tarafından kullanılan React Server Components (RSC) ‘Flight’ protokolündeki bir güvensiz deserialization sorununu ifade ediyor. Bu açık, kimlik doğrulaması gerektirmeden uzaktan kullanılabiliyor ve JavaScript kodunun sunucu bağlamında yürütülmesine olanak tanıyor. Bu durum, siber suçlulara kritik sistemler üzerinde kontrol sağlama fırsatı tanıyor.
Açığın duyurulmasından birkaç saat sonra, devlet destekli hackerlar bu istismarı siber casusluk operasyonlarında ya da EtherRAT gibi yeni kötü amaçlı yazılımlarını dağıtmak için kullanmaya başladılar. Aynı zamanda siber suçlular, cryptocurrency madenciliği saldırılarını gerçekleştirmek için de bu açığı değerlendirdiler.
Weaxor Fidye Yazılımı Salgını
Weaxor fidye yazılımı, 2024 yılı sonlarında ortaya çıktı ve Mallox/FARGO operasyonunun (aynı zamanda ‘TargetCompany’ olarak da bilinmektedir) bir rebrand’ı olarak değerlendiriliyor. Mallox gibi, Weaxor da genel olarak halka açık sunucuları hedef alan daha az sofistike bir operasyondur ve genellikle düşük fidye talepleriyle gerçekleştirilen fırsatçı saldırılara yöneliyor.
Weaxor işleminin, veri sızıntısı yapmadan yalnızca dosyaları şifrelemesi dikkat çekiyor. S-RM araştırmacıları, bu fidye yazılımının React2Shell ile elde edilen ilk erişim sonrası çok kısa bir süre içinde ulaştığını gözlemlediler. Ancak yapılan bu saldırının otomatik bir saldırı olması gerektiği düşünülse de, araştırmacılar ortamda bunu destekleyen bir kanıt bulamadılar.
Saldırı Süreci ve Sonuçları
Saldırı sırasında, saldırganlar hemen obfuscate edilmiş bir PowerShell komutu çalıştırarak Cobalt Strike beacon’ı kurdular. Ardından, Windows Defender’daki gerçek zamanlı korumayı devre dışı bıraktılar ve fidye yazılımını başlattılar. İlk erişimden itibaren tüm bu işlemler yalnızca bir dakika içinde gerçekleşti.
Uzmanlar, Weaxor’ın yalnızca React2Shell açığına sahip olan uç noktayı hedef aldığını ve herhangi bir lateral hareketlilik gözlemlenmediğini belirtmektedir. Şifreleme sonrasında, dosyalar ‘.WEAX’ uzantısına sahip oldu ve her etkilenen dizinde ‘RECOVERY INFORMATION.txt’ adlı bir fidye notu dosyası bırakıldı. Bu dosyada, saldırgandan gelen ödeme talimatları yer alıyordu.
Ayrıca, Weaxor’ın kolay bir kurtarma işlemini engellemek için hacim gölge kopyalarını sildiği ve olay günlüğünü temizleyerek adli analiz yapmayı zorlaştırdığı gözlemlenmiştir. Dikkate değer bir diğer detay ise, aynı makinenin farklı kötü amaçlı yazılımlar tarafından tekrar tekrar hedef alınmasıdır; bu durum, React2Shell etrafındaki kötü niyetli etkinliğin seviyesini göstermektedir.
Öneriler ve Koruma Yöntemleri
S-RM, sistem yöneticilerinin Windows olay günlüklerini ve EDR telemetrisini gözden geçirmelerini öneriyor. Node veya React ile ilgili ikili dosyalardan süreçlerin oluşturulmasına dair herhangi bir kanıt aramaları önemlidir. Ayrıca, cmd.exe veya powershell.exe‘in node.exe üzerinden yaratılması, React2Shell istismarının güçlü bir göstergesidir.
Ayrıca, alışılmadık dış bağlantılar, devre dışı bırakılan güvenlik çözümleri, günlüklerin temizlenmesi ve kaynak artışları gibi durumlar da detaylı bir şekilde incelenmelidir.
