Saldırının Genel Çerçevesi
Son analizlere göre, Metro4Shell olarak da bilinen CVE-2025-11953 açığı ilk kez aktif olarak sömürüldü. Bu kritik uzaktan kod yürütme (RCE) zafiyeti, React Native CLI npm paketinde tespit edildi ve CVSS skoru 9.8 olarak derecelendirildi. Saldırı, kimlik doğrulaması gerektirmeden temel işletim sistemi komutlarının çalıştırılmasına olanak sağlıyor. İlk olarak Kasım 2025’te belgelenen bu zafiyet, Aralık 2025’te gerçekleştirilen saldırılarla gerçek dünyada istismar edildi.
Saldırı Zinciri ve Teknik Detaylar
Honeypot sistemlerine yönelik saldırılarda, tehdit aktörleri Base64 ile kodlanmış bir PowerShell betiği kullanıyor. Bu betik, Microsoft Defender Antivirus hariç tutmaları ekleyerek savunma mekanizmalarını atlatmayı hedefliyor. Betik, geçici klasör (“C:\Users\<username>\AppData\Local\Temp”) üzerinde işlem yapıyor ve saldırgan kontrolündeki bir C2 sunucusuna (8.218.43[.]248:60124) ham TCP bağlantısı kuruyor. İndirilen zararlı ikili dosya Rust diliyle yazılmış olup, statik analiz ve tersine mühendislik önlemleri için anti-analiz teknikleri içeriyor.
Saldırılar, 5.109.182[.]231, 223.6.249[.]141 ve 134.209.69[.]155 IP adreslerinden kaynaklanıyor. VulnCheck tarafından yapılan gözlemler, bu istismarların deneysel değil, operasyonel ve süreklilik arz eden bir kampanyanın parçası olduğunu gösteriyor.
Hangi Sistemler Risk Altında?
Bu zafiyet özellikle React Native CLI kullanan yazılım geliştirme ortamlarını hedef alıyor. Geliştirme altyapısına erişim sağlandığında, saldırganlar üretim ortamına geçiş yapabilir. Bu durum, yazılım tedarik zincirinde kritik riskler oluşturuyor. Ayrıca, Microsoft Defender hariç tutmaları eklenmesi, endpoint detection and response (EDR) çözümlerinin etkinliğini azaltabilir.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- React Native CLI ve ilgili npm paketlerini güncel tutun ve CVE-2025-11953 için yayımlanan yamaları hızla uygulayın.
- PowerShell komutlarının ve betiklerinin davranışlarını SIEM sistemlerinde izleyin ve anormal Base64 kodlu içeriklere karşı uyarı kuralları oluşturun.
- Microsoft Defender hariç tutma listelerini düzenli olarak denetleyin ve şüpheli değişiklikleri raporlayın.
- Geçici klasörlerde (Temp dizinleri) olağan dışı dosya oluşturma ve ağ bağlantılarını EDR çözümleri ile takip edin.
- Firewall ve ağ segmentasyonu politikaları ile dış IP adreslerine doğrudan ham TCP bağlantılarını kısıtlayın.
- Kimlik doğrulama ve erişim kontrollerinde Zero Trust prensiplerini uygulayarak geliştirme ve üretim ortamlarını ayrıştırın.
- Olay müdahale (incident response) planlarınızı Metro4Shell gibi RCE zafiyetlerine karşı güncelleyin ve tatbikatlar yapın.
Teknik Özet
- Zararlı araçlar: Base64 kodlu PowerShell betiği, Rust tabanlı zararlı ikili dosya
- Hedef sektörler: Yazılım geliştirme ortamları, özellikle React Native CLI kullanıcıları
- Kullanılan zafiyet: CVE-2025-11953 (Metro4Shell)
- Saldırı zinciri: Zafiyet istismarı → PowerShell betiği teslimi → Microsoft Defender hariç tutmaları ekleme → C2 sunucusuna ham TCP bağlantısı → Rust tabanlı zararlı indirme ve çalıştırma
- Önerilen savunma: Hızlı yama uygulaması, EDR ve SIEM entegrasyonu, ağ segmentasyonu, Zero Trust erişim kontrolleri
Bu gelişmeler, özellikle yazılım tedarik zinciri güvenliği ve bulut güvenliği alanlarında yeni riskler oluşturuyor. Siber güvenlik ekiplerinin, e-posta güvenliği ve fidye yazılımı saldırıları gibi diğer tehditlerle birlikte bu tür RCE zafiyetlerine karşı da hazırlıklı olması önem taşıyor.