Bilinen Sömürülmüş Zafiyetler (KEV) kataloğuna yeni eklenen CVE-2025-55182 kodlu React2Shell açığı, React Server Components (RSC) mimarisinde kritik bir güvenlik riski oluşturuyor. CVSS 10.0 puanıyla yüksek şiddette değerlendirilen bu zafiyet, kimlik doğrulaması gerektirmeden uzaktan kod yürütme (RCE) imkanı sağlıyor ve sahada aktif olarak sömürülüyor.
Saldırının Genel Çerçevesi
React Server Components, istemci ve sunucu arasında veri alışverişi için Flight protokolünü kullanır. Bu protokoldeki güvensiz serileştirme (insecure deserialization) işlemi, saldırganların özel hazırlanmış HTTP istekleriyle sunucuda rastgele komut çalıştırmasına olanak tanıyor. Bu durum, özellikle kimlik doğrulaması olmayan uç noktalarda ciddi tehdit oluşturuyor.
Amazon ve diğer güvenlik kuruluşlarının raporlarına göre, Earth Lamia ve Jackpot Panda gibi Çinli tehdit aktörleri açığı hedef alan saldırı kampanyaları düzenliyor. Bu saldırılar, PowerShell tabanlı “cheap math” komutları ile madencilik yazılımları dağıtımı ve bellek içi indirme araçları çalıştırılması gibi tekniklerle devam ediyor. Ayrıca, Coalition, Fastly, GreyNoise, VulnCheck ve Wiz gibi firmalar da bu zafiyeti hedef alan sömürü girişimlerini tespit etti.
Hangi Sistemler Risk Altında?
React2Shell açığı, react-server-dom-webpack, react-server-dom-parcel ve react-server-dom-turbopack kütüphanelerinin 19.0.1, 19.1.2 ve 19.2.1 sürümlerinde giderildi. Ancak, Next.js, React Router, Waku, Parcel, Vite ve RedwoodSDK gibi React tabanlı frameworkler ve altyapılar da etkileniyor. Censys verilerine göre, dünya genelinde yaklaşık 2.15 milyon internet erişimli servis bu zafiyetten etkilenebilir durumda.
Saldırı Zinciri ve Teknik Detaylar
- Kullanılan zararlılar ve araçlar: PowerShell “cheap math” komutları, bellek içi indirme araçları, SNOWLIGHT ve VShell zararlıları.
- Hedef sektörler: Bulut servis sağlayıcıları, web uygulama altyapıları, SaaS platformları ve çeşitli kurumsal sistemler.
- Zafiyet: CVE-2025-55182, React Server Components Flight protokolünde insecure deserialization.
- Saldırı zinciri: 1) Özel hazırlanmış HTTP isteği ile zafiyetin tetiklenmesi, 2) Uzaktan kod yürütme ile zararlı komutların çalıştırılması, 3) Zararlı yazılımların indirilip çalıştırılması.
- Temel savunma: Güncel yamaların uygulanması, ağ segmentasyonu, MFA kullanımı, EDR ve SIEM sistemlerinin zafiyet taramalarına dahil edilmesi.
Siber Güvenlik Ekipleri İçin Öneriler
- React Server Components ve ilgili kütüphanelerin 19.2.1 ve üzeri sürümlerine hızlıca güncelleme yapın.
- Flight protokolü üzerinden gelen HTTP isteklerini detaylı şekilde loglayarak anormal aktiviteleri tespit edin.
- EDR çözümleri ile PowerShell ve bellek içi kod çalıştırma davranışlarını izleyin.
- Ağ segmentasyonu uygulayarak kritik sunuculara erişimi kısıtlayın.
- Kimlik doğrulaması olmayan uç noktalar için erişim kontrollerini sıkılaştırın.
- Olay müdahale (incident response) planlarınızı bu tür RCE saldırılarına karşı güncelleyin.
- IAM politikalarını gözden geçirerek gereksiz izinleri kaldırın ve Zero Trust prensiplerini uygulayın.
- Phishing ve sosyal mühendislik saldırılarına karşı kullanıcı eğitimi verin, çünkü saldırganlar zafiyeti tetiklemek için ek yöntemler kullanabilir.
Regülasyon ve Uyumluluk Boyutu
Binding Operational Directive (BOD) 22-01 kapsamında, ABD Federal Sivil Yürütme Dalları (FCEB) kurumlarının 26 Aralık 2025 tarihine kadar bu zafiyete karşı gerekli yamaları uygulaması zorunlu kılındı. Bu durum, benzer regülasyonlara tabi diğer kurum ve kuruluşların da hızlı hareket etmesi gerektiğini gösteriyor.
Türkiye ve diğer ülkelerdeki kurumların da bulut güvenliği ve ağ segmentasyonu gibi önlemlerle bu tür kritik zafiyetlere karşı hazırlıklı olması önem taşıyor.
Son olarak, güvenlik araştırmacıları Lachlan Davidson ve maple3142 tarafından yayımlanan kavram kanıtı (PoC) exploitler, saldırganların bu açığı kolayca kullanabileceğini gösteriyor. Bu nedenle, yazılım geliştirme ve operasyon ekiplerinin güncelleme süreçlerini hızlandırması gerekiyor.