Giriş
Siber saldırganlar, React2Shell (CVE-2025-55182) zafiyetini kullanarak, büyük ölçekli bir otomatik kimlik bilgisi çalma kampanyası yürütmektedir. Bu durum, etkilenen Next.js uygulamalarında ciddi güvenlik tehditleri yaratmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı, savunmasız Next.js uygulamalarını hedef alarak, otomatik tarama işlemiyle başlar. React2Shell zafiyeti aracılığıyla sisteme sızan saldırganlar, standart geçici dizine çok aşamalı bir kimlik bilgisi toplama rutini gerçekleştiren bir script yerleştirir.
Cisco Talos araştırmacılarının raporuna göre, bu şekilde çalınan veriler şunları içermektedir:
- Ortam değişkenleri ve gizli anahtarlar (API anahtarları, veritabanı kimlik bilgileri, GitHub/GitLab jetonları)
- SSH anahtarları
- Bulut kimlik bilgileri (AWS/GCP/Azure metadata, IAM kimlik bilgileri)
- Kubernetes jetonları
- Docker/konteyner bilgileri
- Komut geçmişi
- İşlem ve çalışma zamanı verileri
Hassas veriler, bir HTTP isteği ile port 8080 üzerinden NEXUS Listener bileşenini çalıştıran bir komut ve kontrol (C2) sunucusuna exfiltre edilir. Saldırgan, elde edilen verilerin detaylı bir görünümüne erişim sağlar, arama, filtreleme ve istatistiksel analiz imkanı sunar.
Etkilenen Sistemler
Cisco Talos, bu etkinliği UAT-10608 olarak izlemektedir. Araştırmacılar, bir NEXUS Listener örneğine erişim sağlayarak etkilenen sistemlerden toplanan verilerin türlerini inceleme fırsatı bulmuşlardır. Otomatik exploitasyon ve toplama çerçevesi, 24 saat içinde toplam 766 sunucuyu başarılı bir şekilde hedef almıştır.
Çözüm ve Korunma
Çalınan gizli anahtarlar, saldırganların bulut hesaplarını ele geçirmesine ve veritabanlarına, ödeme sistemlerine ve diğer hizmetlere erişmesine olanak tanır; ayrıca tedarik zinciri saldırılarına kapı aralayabilir. Cisco Talos’un vurguladığı gibi, ele geçirilen veriler, kişisel verilerin korunması yasalarının ihlali nedeniyle mağdurları düzenleyici sonuçlarla karşı karşıya bırakabilir.
Araştırmacılar, sistem yöneticilerinin aşağıdaki önlemleri almasını önermektedir:
- React2Shell için güvenlik güncellemelerini uygulayın.
- Sunucu tarafında veri sızıntılarını denetleyin.
- Bir ihlal şüphesi varsa, tüm kimlik bilgilerini hemen değiştirme.
- AWS IMDSv2’nin zorunlu hale getirilmesi ve tekrar kullanılan SSH anahtarlarının değiştirilmesi.
- Gizli verilerin taranmasını sağlamak.
- Next.js için WAF/RASP korumalarını dağıtmak.
- Etkiyi sınırlamak için konteynerler ve bulut rolleri arasında en az ayrıcalık ilkesinin uygulanması.
Sonuç
Bu tür siber saldırıların artışı, güvenlik önlemlerinin güncel ve etkili olmasını zorunlu kılmaktadır. Sistem yöneticileri, hemen güncellemeleri uygulamalı ve şüpheli durumlar karşısında tüm kimlik bilgilerini yenilemelidir. Aksi takdirde, ciddi veri ihlalleri ve olası regülasyon sorunlarıyla karşılaşılabilir.
