React2Shell İstismarları: Kripto Madenciler ve Yeni Kötü Amaçlı Yazılımlar
React2Shell, siber suçlular tarafından yoğun bir şekilde istismar ediliyor. React Server Components (RSC) içindeki yüksek güvenlik açığı, kripto madenciler ve daha önce belgelenmemiş bir dizi kötü amaçlı yazılımın dağıtımına olanak tanıyor. Huntress’in raporuna göre, bu kötü amaçlı yazılımlar arasında PeerBlight adlı bir Linux arka kapı, CowTunnel adında bir ters proxy tüneli ve ZinFoq adı verilen Go tabanlı bir sonrası istismar implantı yer alıyor.
CVE-2025-55182 Açığı ve Etkileri
Huntress, saldırganların CVE-2025-55182 açıkları aracılığıyla birçok kuruluşa yönelik saldırılar gerçekleştirdiğini bildirdi. Bu kritik güvenlik açığı, kimlik doğrulaması gerektirmeyen uzaktan kod yürütmeye olanak tanıyor. Bu tür saldırılar, özellikle inşaat ve eğlence sektörlerini hedef alıyor.
İlk istismar girişimi, 4 Aralık 2025’te Huntress tarafından kaydedildi. Bir tehdit aktörü, savunmasız bir Next.js örneğini istismar ederek bir kabuk betiği yükledi ve ardından bir kripto madencisi ve Linux arka kapı kurulum komutları verdi.
Çeşitli Kötü Amaçlı Yazılım Türleri
Saldırılar sırasında indirilen bazı önemli kötü amaçlı yazılım bileşenleri şunlardır:
- sex.sh: GitHub’dan doğrudan XMRig 6.24.0’ı indiren bir bash betiği.
- PeerBlight: Kalıcılık sağlamak için bir systemd servisi yükleyen, gizlenmek için “ksoftirqd” daemon sürecini taklit eden bir Linux arka kapı.
- CowTunnel: Saldırgan denetimindeki Fast Reverse Proxy (FRP) sunucularına dış bağlantılar başlatan bir ters proxy.
- ZinFoq: Etkileşimli terminal, dosya işlemleri ve ağ pivotlama yetenekleri sunan bir Linux ELF ikili dosyası.
PeerBlight ve ZinFoq’un Yetkileri
PeerBlight, hard-coded bir C2 sunucusuyla iletişim kurma yeteneğine sahiptir. Bu, dosya yükleme/indirme/silinmesi, ters shell başlatma ve kendi kendine güncelleme gibi işlevler sağlar. Bu arka kapı, DGA kullanarak da ikinci bir iletişim yöntemi sunar.
ZinFoq, benzer şekilde C2 sunucusuna bağlanarak komutları çalıştırabilir. Directory tarama, dosya okuma veya silme gibi işlemleri gerçekleştirir. Ayrıca, gizlenmek için legit bir Linux sistem hizmetini taklit eden teknikler kullanır.
Güvenlik Önlemleri ve Güncellemeler
React-server-dom-webpack, react-server-dom-parcel veya react-server-dom-turbopack kullanan organizasyonların hemen güncellenmesi öneriliyor. Bu açıkların suistimali oldukça kolaydır ve olasılıkla daha fazla zarara yol açabilir.
Ayrıca, Shadowserver Foundation’a göre, 8 Aralık 2025 itibarıyla 165.000’den fazla IP adresi ve 644.000 alan adı, bu tür savunmasız kodlarla tespit edildi. Özellikle ABD, Almanya ve Fransa gibi ülkeler başı çekmektedir.
Sonuç olarak, kullanıcıların bu ciddi güvenlik açığına karşı hemen önlem alması ve gerekli güncellemeleri yapması hayati önem taşımaktadır.
