Saldırının Genel Çerçevesi
Son analizler, React2Shell (CVE-2025-55182) açığının birçok tehdit aktörü tarafından Linux sistemlerde arka kapı yüklemek ve kötü amaçlı yazılım dağıtmak için kullanıldığını ortaya koyuyor. Özellikle KSwapDoor ve ZnDoor gibi gelişmiş uzaktan erişim araçları, Çin devlet destekli gruplar tarafından hassas hedeflere yönelik olarak yaygın şekilde istismar ediliyor. Bu saldırılar, 2024 yılı itibarıyla Japonya, ABD ve Avrupa başta olmak üzere çeşitli bölgelerde tespit edildi.
KSwapDoor, askeri düzeyde şifreleme kullanan ve mesh ağ yapısıyla ele geçirilen sunucular arasında gizli iletişim sağlayan sofistike bir Linux arka kapısıdır. BPFDoor olarak ilk etapta yanlış sınıflandırılan bu zararlı, Raw Socket Sniffing tekniğiyle ağ trafiğini doğrudan izleyerek tespit edilmekten kaçınıyor. ZnDoor ise React2Shell açığını kullanarak uzak sunucudan komut alabilen ve çeşitli sistem işlemlerini gerçekleştirebilen bir truva atıdır.
Saldırı Zinciri ve Teknik Detaylar
Saldırı zinciri genellikle şu adımlardan oluşuyor:
- React2Shell açığının istismarı ile hedef sistemde komut yürütme sağlanması.
- Uzak sunucudan wget ile zararlı payloadların indirilip çalıştırılması.
- KSwapDoor ve ZnDoor gibi arka kapıların kurulması ve mesh ağ üzerinden komutların alınması.
- Yatay hareket ve kimlik bilgisi hırsızlığı için sistem keşfi ve proxy kurulumu.
Microsoft ve Google tarafından takip edilen en az beş Çin bağlantılı tehdit grubu (UNC6600, UNC6586, UNC6588, UNC6603, UNC6595) bu açığı kullanarak farklı zararlılar (MINOCAT, SNOWLIGHT, COMPOOD, HISONIC, ANGRYREBEL) dağıtıyor. Ayrıca, saldırganlar Cloudflare Tunnel uç noktalarını kullanarak ağ trafiğini gizliyor ve Azure, AWS, GCP gibi bulut platformlarından kimlik belirteçleri toplamaya çalışıyor.
Hangi Sistemler Risk Altında?
Linux tabanlı sunucular, özellikle kritik altyapı ve yüksek değerli kurumsal sistemler öncelikli hedefler arasında yer alıyor. React2Shell açığı, Next.js uygulamalarında da benzer zafiyetlerle birlikte kullanılarak web uygulamalarından hassas verilerin sistematik olarak sızdırılmasına neden oluyor. Bu durum, bulut güvenliği ve web uygulaması güvenliği alanlarında ek riskler doğuruyor.
Siber Güvenlik Ekipleri İçin Öneriler
- React2Shell ve ilgili CVE’ler için (CVE-2025-55182, CVE-2025-29927, CVE-2025-66478) güncel yamaları derhal uygulayın (NVD Link).
- EDR ve SIEM çözümlerinde Raw Socket Sniffing ve mesh ağ iletişimini tespit edecek özel kurallar oluşturun.
- Firewall ve ağ segmentasyonu ile Cloudflare Tunnel gibi anonimleştirici proxy trafiğini izleyin ve kısıtlayın.
- Yetkisiz authorized_keys değişiklikleri ve ters kabuk bağlantılarını düzenli olarak denetleyin.
- Kimlik bilgisi hırsızlığına karşı IAM politikalarını güçlendirin ve bulut platformlarında çok faktörlü kimlik doğrulama (MFA) kullanın.
- Olay müdahale süreçlerinde TruffleHog, Gitleaks gibi gizli keşif araçlarının kullanımına karşı tetikte olun.
- Linux sistemlerde yatay hareketi engellemek için ağ erişim kontrollerini ve port yönlendirme kurallarını sıkılaştırın.
- Uygulama ve sistem loglarını düzenli olarak analiz ederek anormal komut yürütme ve dosya işlemlerini tespit edin.
Teknik Özet
- Kullanılan zararlılar: KSwapDoor, ZnDoor, BPFDoor, MINOCAT, SNOWLIGHT, COMPOOD, HISONIC, ANGRYREBEL, VShell, EtherRAT, ShadowPad, XMRig.
- Hedef sektörler: Kritik altyapı, finans, bulut hizmetleri, endüstriyel kontrol sistemleri.
- Kullanılan zafiyetler: CVE-2025-55182 (React2Shell), CVE-2025-29927, CVE-2025-66478.
- Saldırı zinciri: Açık istismarı → Payload indirme → Arka kapı kurulumu → Mesh ağ iletişimi → Yatay hareket ve kimlik bilgisi hırsızlığı.
- Önerilen savunma: Güncel yamalar, EDR ve SIEM entegrasyonu, ağ segmentasyonu, MFA, yetkisiz erişim denetimi.