Çinli Hackerlar React2Shell Açığını Hedef Alarak Kritik Sistemlerde İstismar Kampanyası Başlattı

Anasayfa » Çinli Hackerlar React2Shell Açığını Hedef Alarak Kritik Sistemlerde İstismar Kampanyası Başlattı
APT, Siber Tehditler, Zafiyetler
Aralık 6, 2025Aralık 6, 2025Tarafından Cybernews.TR
0
Çinli Hackerlar React2Shell Açığını Hedef Alarak Kritik Sistemlerde İstismar Kampanyası Başlattı

Saldırının Genel Çerçevesi

2025 yılında açıklanan ve CVE-2025-55182 koduyla takip edilen React2Shell açığı, kimlik doğrulaması olmadan uzaktan kod çalıştırılmasına olanak sağlıyor. Bu kritik zafiyet, React sürümlerinin 19.0.1, 19.1.2 ve 19.2.1 versiyonlarında giderilmiş durumda. Ancak yamaların uygulanmadığı sistemlerde, Çin bağlantılı Earth Lamia ve Jackpot Panda adlı tehdit aktörleri tarafından aktif olarak istismar edilmeye başlandı.

Bu gruplar, özellikle Latin Amerika, Orta Doğu, Güneydoğu Asya ve Doğu Asya bölgelerinde finansal hizmetler, lojistik, perakende, BT şirketleri, üniversiteler ve devlet kurumları gibi kritik sektörleri hedef alıyor. Earth Lamia, bu yılın başlarında SAP NetWeaver (CVE-2025-31324) açığını da kullanarak saldırılarını çeşitlendirdi. Jackpot Panda ise çevrimiçi kumar operasyonlarıyla bağlantılı kuruluşlara odaklanıyor ve geçmişte tedarik zinciri saldırılarıyla ilişkilendirildi.

Saldırı Zinciri ve Teknik Detaylar

İstismar kampanyasında, öncelikle açık sistemler otomatik taramalarla belirleniyor. Ardından keşif komutları (örneğin whoami), dosya yazma (/tmp/pwned.txt) ve hassas dosya okuma (/etc/passwd) gibi işlemlerle sistem kontrolü sağlanıyor. Jackpot Panda grubunun XShade ve CplRAT gibi kötü amaçlı implantları, trojanlanmış yükleyiciler aracılığıyla dağıtılıyor. Bu implantlar, güvenilir üçüncü taraf ilişkilerini hedef alarak ilk erişimi sağlıyor ve komuta kontrol (C2) iletişimleri kuruyor.

Ayrıca, NUUO Kamera sistemlerindeki CVE-2025-1338 açığı da istismar edilen diğer önemli zafiyetlerden biri. Bu durum, yamalanmamış sistemlerin geniş çapta tarandığını ve hedeflendiğini gösteriyor. Saldırılar, genellikle kamuya açık istismar kodlarının hızlı entegrasyonu ve çok aşamalı saldırı zincirleriyle yürütülüyor.

Cloudflare Kesintisi ve Güvenlik Önlemleri

React2Shell açığını hafifletmek amacıyla Cloudflare tarafından yapılan Web Uygulama Güvenlik Duvarı (WAF) konfigürasyon değişikliği, kısa süreli fakat yaygın bir kesintiye yol açtı. Bu kesinti sırasında birçok web sitesi “500 Internal Server Error” hatası verdi. Cloudflare, bu değişikliğin bir saldırı olmadığını ve sektörel bir açığın etkilerini azaltmak için uygulandığını belirtti.

Kurumsal Ortamlarda Olası Senaryolar

Örneğin, bir finans kurumunda React2Shell açığı istismar edilirse, saldırganlar kimlik doğrulaması olmadan sistemde komut çalıştırabilir, hassas müşteri verilerine erişebilir ve ağ içi hareketlilik sağlayabilir. Bu durum, fidye yazılımı saldırıları veya veri sızıntıları için zemin oluşturabilir. Benzer şekilde, lojistik ve perakende sektörlerinde operasyonel kesintiler yaşanabilir.

Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Kontrol Listesi

  • React ve ilgili bileşenlerin 19.2.1 ve üzeri sürümlerine güncelleme yapın.
  • NUUO Kamera sistemlerinde CVE-2025-1338 açığı için yamaları uygulayın.
  • EDR çözümlerinde React2Shell ve benzeri zafiyetler için özel tespit kuralları oluşturun.
  • SIEM sistemlerinde whoami, /tmp/pwned.txt ve /etc/passwd gibi anormal komut ve dosya erişimlerini izleyin.
  • Zero Trust prensipleri doğrultusunda uygulama ve ağ segmentasyonu yaparak saldırı yüzeyini azaltın.
  • Güvenilir üçüncü taraf ilişkilerini düzenli olarak denetleyin ve tedarik zinciri risklerini yönetin.
  • Olay müdahale planlarınızı güncelleyerek bu tür zafiyetlerin hızlı tespiti ve izolasyonunu sağlayın.
  • Çalışanları e-posta güvenliği ve sosyal mühendislik saldırılarına karşı bilinçlendirin.

Teknik Özet

  • Kullanılan Zararlılar ve Araçlar: XShade, CplRAT, trojanlanmış yükleyiciler
  • Hedef Sektörler ve Bölgeler: Finans, lojistik, perakende, BT, üniversiteler, devlet; Latin Amerika, Orta Doğu, Güneydoğu ve Doğu Asya
  • Kullanılan Zafiyetler: CVE-2025-55182 (React2Shell), CVE-2025-31324 (SAP NetWeaver), CVE-2025-1338 (NUUO Kamera)
  • Saldırı Zinciri: Açık sistemlerin taranması → keşif komutları çalıştırma → kötü amaçlı implant dağıtımı → C2 iletişimi ve veri sızdırma
  • Önerilen Savunma Yaklaşımı: Güncel yamaların uygulanması, EDR ve SIEM entegrasyonu, ağ segmentasyonu, Zero Trust politikaları, tedarik zinciri güvenliği yönetimi

Bu gelişmeler, bulut güvenliği ve ağ segmentasyonu gibi alanlarda alınacak önlemlerin önemini bir kez daha ortaya koyuyor. Ayrıca, olay müdahale ekiplerinin bu tür çok aşamalı ve karmaşık saldırı zincirlerine karşı hazırlıklı olması gerekiyor.

, , , , , , ,