Saldırının Genel Çerçevesi
Yakın zamanda ortaya çıkan bir kampanya, React2Shell (CVE-2025-55182) zafiyetini kullanarak NGINX yapılandırmalarına kötü amaçlı müdahaleler gerçekleştiriyor. Bu saldırı, kullanıcılar ile hedef web siteleri arasındaki trafiği kesip, saldırganların kontrolündeki arka uç sunuculara yönlendirme yapıyor. Kampanya özellikle Asya bölgesine ait üst düzey alan adları (.in, .id, .pe, .bd, .th), Çin merkezli Baota Panel barındırma altyapısı ve hükümet ile eğitim kurumlarına ait TLD’leri (.edu, .gov) hedef alıyor.
Saldırı Zinciri ve Teknik Detaylar
Kampanya, açık kaynaklı ters proxy ve yük dengeleyici olan NGINX’in yapılandırma dosyalarına shell scriptleri aracılığıyla kötü amaçlı kurallar enjekte ediyor. Bu “location” blokları, belirli URL yollarındaki istekleri yakalayıp, proxy_pass yönergesiyle saldırganların alanlarına yönlendiriyor. Kullanılan araç seti çok aşamalı olup, kalıcılığı sağlamak ve yapılandırma hatalarını minimize etmek için aşağıdaki scriptleri içeriyor:
- zx.sh: İndirme ve yürütme işlemlerini curl, wget veya ham TCP bağlantısı ile gerçekleştirir.
- bt.sh: Baota (BT) Yönetim Paneli ortamına odaklanarak NGINX yapılandırmalarını değiştirir.
- 4zdh.sh: Yaygın NGINX konumlarını tarar ve yeni yapılandırma oluştururken hata riskini azaltır.
- zdh.sh: Linux ve konteyner tabanlı NGINX kurulumlarına, ayrıca belirli TLD’lere (örneğin .in, .id) odaklanır.
- ok.sh: Aktif trafik kaçırma kurallarını raporlar.
Bu araçlar, hedef keşfi ve web trafiğinin yönlendirilmesi için kalıcılık sağlayan kötü amaçlı yapılandırma dosyaları oluşturuyor. GreyNoise verilerine göre, 26 Ocak – 2 Şubat 2026 arasında 1.083 benzersiz kaynak IP adresi React2Shell istismarında yer aldı. Baskın kaynak IP’ler, kripto madenciliği ikili dosyaları dağıtımı ve ters kabuk açma gibi farklı post-eksploitasyon yükleri kullanıyor.
Hangi Sistemler Risk Altında?
Kampanya, özellikle Citrix ADC Gateway ve Netscaler Gateway altyapılarını hedef alan koordineli keşif faaliyetleriyle dikkat çekiyor. On binlerce konut proxy’si ve Microsoft Azure IP adresleri kullanılarak giriş panelleri keşfedilmeye çalışılıyor. Bu iki modda yürütülen operasyonlar, hem büyük ölçekli dağıtılmış keşif hem de AWS üzerinde yoğun versiyon taraması gerçekleştiriyor. Bu durum, saldırganların giriş panellerini bulup versiyonlarını listeleyerek zafiyet taraması yapmaya odaklandığını gösteriyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- NGINX yapılandırma dosyalarını düzenli olarak yedekleyin ve değişiklikleri izleyin.
- React2Shell (CVE-2025-55182) için yayınlanan yamaları derhal uygulayın.
- Baota Panel gibi üçüncü taraf yönetim panellerinin erişim kontrollerini sıkılaştırın.
- Web uygulama ve ters proxy loglarını SIEM sistemlerine entegre ederek anormal trafik yönlendirmelerini tespit edin.
- EDR çözümleri ile sunucu üzerinde çalışan shell scriptlerini ve anormal ağ bağlantılarını izleyin.
- Ağ segmentasyonu ve Zero Trust prensipleriyle kritik altyapıyı dış tehditlerden izole edin.
- Proxy ve ters proxy kurallarını düzenli olarak gözden geçirip, beklenmeyen
proxy_passyönlendirmelerini engelleyin. - Olay müdahale (incident response) planlarınızı bu tür trafik kaçırma saldırılarına göre güncelleyin.
Teknik Özet
- Kullanılan araçlar: zx.sh, bt.sh, 4zdh.sh, zdh.sh, ok.sh scriptleri
- Hedefler: Asya TLD’leri, Çin Baota Panel altyapısı, hükümet ve eğitim TLD’leri
- Zafiyet: React2Shell (CVE-2025-55182) – NVD Link
- Saldırı zinciri: Zafiyet istismarı → Kötü amaçlı NGINX yapılandırması ekleme → Trafik yönlendirme → Post-eksploitasyon yük dağıtımı (kripto madenciliği, ters kabuk)
- Önerilen savunma: Zafiyet yamaları, yapılandırma değişiklik takibi, erişim kontrolü, EDR ve SIEM entegrasyonu, ağ segmentasyonu
Bu saldırı, web uygulama güvenliği ve bulut güvenliği alanlarında kritik öneme sahip olup, özellikle ters proxy ve yük dengeleyici yapılandırmalarının güvenliğinin sağlanması gerektiğini gösteriyor. Ayrıca, e-posta güvenliği ve fidye yazılımı saldırıları gibi diğer tehditlerle birlikte değerlendirildiğinde, çok katmanlı savunma stratejilerinin önemi bir kez daha ortaya çıkıyor.