Node.js platformunda async_hooks modülünde ortaya çıkan kritik bir yığın taşması (stack overflow) güvenlik açığı, kullanıcı kodundaki özyinelemeler nedeniyle sunucu çökmelerine yol açabiliyor. Bu durum, özellikle React Server Components, Next.js ve başta Datadog, New Relic, Dynatrace, Elastic APM ve OpenTelemetry olmak üzere birçok uygulama performans izleme (APM) aracını etkiliyor.
Saldırının Genel Çerçevesi
Async_hooks, Node.js’in asenkron işlemlerin yaşam döngüsünü takip etmek için sağladığı düşük seviyeli bir API’dir. Ancak, async_hooks etkinken yığın taşması hataları düzgün yakalanamıyor ve Node.js, 7 hata kodu ile (İç İstisna İşleyici Çalışma Zamanı Hatası) aniden kapanıyor. Bu durum, özyinelemelerle tetiklenen yığın taşması hatalarının uncaughtException mekanizmasıyla bile yönetilememesine neden oluyor. Sonuç olarak, hizmet sürekliliği ciddi şekilde etkileniyor ve bu zafiyet hizmet reddi (DoS) saldırılarına kapı aralıyor.
Hangi Sistemler Risk Altında?
Bu zafiyet, Node.js 8.x (2017’den itibaren) ile 18.x sürümleri arasında bulunan async_hooks içeren tüm sürümleri kapsıyor. Ancak, Node.js 20.20.0, 22.22.0, 24.13.0 ve 25.3.0 sürümleriyle bu açık giderilmiş durumda. Güncel olmayan sürümler, özellikle büyük ölçekli web uygulamaları ve mikroservis mimarilerinde yaygın kullanılan React Server Components, Next.js gibi frameworkler ile APM araçları tarafından oluşturulan asenkron veri izleme altyapıları nedeniyle risk altında bulunuyor.
Saldırı Zinciri ve Teknik Detaylar
- Başlangıç: Kullanıcı kodunda async_hooks ile çalışan asenkron işlemlerde derin özyinelemeler oluşması
- Hata: Yığın taşması oluştuğunda Node.js’in hatayı yakalayamaması ve 7 hata kodu ile aniden kapanması
- Sonuç: Hizmet reddi durumu, uygulama kesintileri ve potansiyel saldırı vektörleri
Bu zafiyet CVE-2025-59466 olarak takip edilmekte olup, CVSS skoru 7.5 olarak raporlanmıştır. Ayrıca, Node.js tarafından aynı zamanda CVE-2025-55131, CVE-2025-55130 ve CVE-2025-59465 kodlu üç yüksek öncelikli güvenlik açığı için de yamalar yayımlanmıştır.
Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler
- Node.js sürümünüzü en az 20.20.0 veya üzeri LTS sürüme güncelleyin.
- Async_hooks kullanan uygulamalarınızda yığın taşması riskini azaltacak kod incelemeleri yapın.
- Uygulama performans izleme (APM) araçlarının güncel sürümlerini kullanın ve async_hooks bağımlılıklarını takip edin.
- EDR ve SIEM sistemlerinizde Node.js uygulama çökme loglarını ve uncaughtException olaylarını yakından izleyin.
- Hizmet sürekliliği için yığın taşması durumlarında otomatik yeniden başlatma ve hata yönetimi mekanizmalarını güçlendirin.
- Güvenlik duvarı ve ağ segmentasyonu ile kritik Node.js servislerini dış tehditlere karşı izole edin.
- Olay müdahale (incident response) planlarınızda Node.js tabanlı servislerin çökme senaryolarını dahil edin.
Kurumsal Ortamlarda Olası Senaryo
Örneğin, büyük bir finans kurumunun Node.js tabanlı API sunucusunda async_hooks kullanılarak asenkron işlem takibi yapılmaktadır. Derin özyinelemeler sonucu yığın taşması oluştuğunda, Node.js sunucusu aniden kapanmakta ve kritik finansal işlemler aksamakta, bu da hem müşteri deneyimini hem de regülasyon uyumluluğunu olumsuz etkilemektedir. Bu tür durumlarda, yama uygulanmamış sürümler ciddi iş sürekliliği riskleri taşır.
Alınabilecek Önlemler
- Node.js sürümünüzü güncel tutarak yamaları zamanında uygulayın.
- Async_hooks kullanımını gereksizse devre dışı bırakın veya alternatif yöntemlere yönelin.
- Uygulama kodunda özyinelemeleri minimize edecek refaktörler yapın.
- EDR çözümlerinde Node.js süreçlerinin anormal kapanışlarını tetikleyen kurallar oluşturun.
- Loglama sistemlerinde yığın taşması ve uncaughtException hatalarını detaylı kaydedin.
- Bulut güvenliği ve ağ segmentasyonu ile kritik Node.js servislerini koruma altına alın.
Node.js ekosistemi için kritik önemde olan bu güvenlik açığı, özellikle modern web uygulamalarında yaygın kullanılan asenkron işlem izleme altyapılarını hedef alıyor. Bu nedenle, geliştiriciler ve sistem yöneticileri, güncellemeleri öncelikli olarak uygulamalı ve yığın taşması kaynaklı hizmet kesintilerine karşı önlemlerini artırmalıdır.