Hafta sonu boyunca Google'ın tehdit istihbarat ekibi, beş Çinli bilgisayar korsanlığı grubunun daha maksimum önemdeki "React2Shell" uzaktan kod yürütme güvenlik açığından yararlanan saldırılarla bağlantısını kurdu.
CVE-2025-55182 olarak izlenen ve aktif olarak yararlanılan bu kusur, React açık kaynak JavaScript kitaplığını etkiliyor ve kimliği doğrulanmamış saldırganların tek bir HTTP isteğiyle React ve Next.js uygulamalarında rastgele kod yürütmesine olanak tanıyor.
Birden fazla React paketi (yani, react-server-dom-parcel, react-server-dom-turbopack ve react-server-dom-webpack) varsayılan yapılandırmalarında güvenlik açığına sahip olsa da, güvenlik açığı yalnızca geçen yıl yayımlanan React 19.0, 19.1.0, 19.1.1 ve 19.2.0 sürümlerini etkiliyor.
Saldırılar başladıktan sonra Palo Alto Networks, Çin devleti destekli tehdit aktörleriyle bağlantılı olaylar da dahil olmak üzere düzinelerce kuruluşun ihlal edildiğini bildirdi. Saldırganlar, komutları yürütmek ve AWS yapılandırma dosyalarını, kimlik bilgilerini ve diğer hassas bilgileri çalmak için bu kusurdan yararlanıyor.
Amazon Web Services (AWS) güvenlik ekibi ayrıca Çin bağlantılı Earth Lamia ve Jackpot Panda tehdit aktörlerinin, güvenlik açığının açığa çıkmasından birkaç saat sonra React2Shell'i kullanmaya başladıkları konusunda da uyardı.
Cumartesi günü, Google Tehdit İstihbarat Grubu (GTIG), kusurun 3 Aralık'ta ortaya çıkmasından sonra başlayan ve devam eden React2Shell saldırılarına katılan en az beş Çinli siber casusluk grubunun daha tespit edildiğini bildirdi.
Kusurdan yararlanan devlet bağlantılı tehdit gruplarının listesi artık UNC6600 (MINOCAT tünelleme yazılımını kullanan), UNC6586 (SNOWLIGHT indiricisi), UNC6588 (COMOOD arka kapı yükü), UNC6603 (HISONIC arka kapısının güncellenmiş bir sürümü) ve UNC6595'i (ANGRYREBEL.LINUX Uzaktan Erişim Truva Atı) da içeriyor.
GTIG araştırmacıları, "Next.js gibi popüler çerçevelerde React Server Bileşenlerinin (RSC) kullanılması nedeniyle, bu soruna karşı savunmasız olan önemli sayıda açıkta kalan sistem var" dedi.
"GTIG ayrıca, tehdit aktörlerinin tarama araçlarına, kavram kanıtı (PoC) koduna ve bu araçları kullanma deneyimlerine yönelik bağlantıları paylaştığı konular da dahil olmak üzere yeraltı forumlarında CVE-2025-55182 ile ilgili çok sayıda tartışmayı gözlemledi."
GTIG, bu saldırıları araştırırken aynı zamanda kusuru hedef alan İranlı tehdit aktörlerini ve yama yapılmamış sistemlerde XMRig kripto para madenciliği yazılımını dağıtan finansal motivasyona sahip saldırganları da tespit etti.
Shadowserver Internet gözlemci grubu şu anda React2Shell saldırılarına karşı savunmasız olan 116.000'den fazla IP adresini izliyor ve 80.000'den fazlası Amerika Birleşik Devletleri'nde.
GreyNoise ayrıca son 24 saat içinde başta Amerika Birleşik Devletleri, Hindistan, Fransa, Almanya, Hollanda, Singapur, Rusya, Avustralya, Birleşik Krallık ve Çin olmak üzere 670'den fazla IP adresinin React2Shell uzaktan kod yürütme kusurundan yararlanmaya çalıştığını gözlemledi.
5 Aralık'ta Cloudflare, küresel bir web sitesi kesintisini React2Shell güvenlik açığına yönelik acil durum hafifletme işlemlerine bağladı.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Çin bağlantılı saldırılarda aktif olarak kullanılan kritik React2Shell kusuru
React2Shell kusuru 30 kuruluşu ihlal edecek şekilde istismar edildi ve 77 bin IP adresi savunmasız kaldı
Critical React, Next.js kusuru, bilgisayar korsanlarının sunucularda kod çalıştırmasına izin veriyor
Sharepoint ToolShell dört kıtada hedeflenen kuruluşlara saldırıyor
Bilgisayar korsanları, 700 sunucuyu ihlal etmek için sıfır gün yama uygulanmamış Gogs'tan yararlanıyor
Kaynak: Bleeping Computer