React Server Components (RSC) mimarisindeki kritik bir güvenlik açığı (CVE-2025-55182), 2025 yılının son çeyreğinde birçok sektörde siber saldırganların hedefi haline geldi. Bu zafiyet, kimlik doğrulaması gerektirmeden uzaktan kod yürütme imkanı sağlıyor ve özellikle inşaat ile eğlence sektörlerinde yoğun saldırılar gözlemlendi. Saldırılar, ABD, Asya, Güney Amerika ve Orta Doğu bölgelerinde yaygın şekilde rapor edildi.
Saldırı Zinciri ve Teknik Detaylar
İlk tespit edilen saldırı 4 Aralık 2025 tarihinde gerçekleşti. Saldırganlar, Next.js’in savunmasız örneklerini kullanarak otomatik kabuk betikleri yerleştirdi. Bu betikler, Linux ve Windows sistemlere kripto madencisi XMRig ve çeşitli arka kapılar yükledi. Saldırılar, halka açık GitHub araçlarıyla savunmasız Next.js örneklerini tespit edip hedef aldı.
Yüklenen zararlılar arasında şunlar bulunuyor:
- sex.sh: XMRig 6.24.0 sürümünü GitHub’dan çeken bash betiği.
- PeerBlight: systemd servisi kurarak kalıcılık sağlayan, kendini “ksoftirqd” olarak gizleyen Linux arka kapısı. DGA ve BitTorrent DHT ağını kullanarak C2 iletişimi sağlıyor.
- CowTunnel: Güvenlik duvarlarını aşan ters proxy tüneli.
- ZinFoq: Go tabanlı post-sömürü implantı; etkileşimli kabuk, dosya işlemleri, ağ pivotlama ve zaman değiştirme özelliklerine sahip.
- d5.sh ve fn22.sh: Sliver C2 çerçevesini dağıtan dropper betikleri.
- wocaosinm.sh: Kaiji DDoS zararlısının uzaktan yönetim ve gizlenme özellikli varyantı.
Hangi Sistemler Risk Altında?
Linux ve Windows platformları hedef alınmakta olup, saldırganlar otomatik sömürü araçlarıyla işletim sistemi ayrımı yapmadan hareket ediyor. Özellikle Next.js kullanan web uygulamaları ve React-server-dom paketleri (webpack, parcel, turbopack) risk altında. Shadowserver Foundation verilerine göre 8 Aralık 2025 itibarıyla 165.000’den fazla IP adresi ve 644.000 alan adı savunmasız durumda.
Siber Güvenlik Ekipleri İçin Öneriler
- React-server-dom ve Next.js bileşenlerini derhal en güncel sürümlere yükseltin.
- EDR ve SIEM sistemlerinde CVE-2025-55182 ile ilgili imzalar ve anormal komut yürütme aktivitelerini izleyin.
- Ağ segmentasyonu uygulayarak kritik sistemleri izole edin ve ters proxy tünellerine karşı trafik analizi yapın.
- Güçlü IAM politikaları ve çok faktörlü kimlik doğrulama (MFA) kullanarak erişim kontrollerini sıkılaştırın.
- Loglarda özellikle systemd servis değişiklikleri, anormal ağ bağlantıları ve dosya izin değişikliklerini takip edin.
- Olay müdahale süreçlerinizi güncelleyerek otomatik sömürü ve post-sömürü faaliyetlerine hızlı yanıt verin.
- Phishing ve sosyal mühendislik saldırılarına karşı e-posta güvenliği çözümlerini güçlendirin.
- Bulut ortamlarında konteynerlerin rastgele SSH portları açmasına izin vermeyin ve güvenlik duvarı kurallarını sıkılaştırın.
Teknik Özet
- Kullanılan zararlılar: PeerBlight, CowTunnel, ZinFoq, Kaiji DDoS varyantı, Sliver C2 dropperları.
- Hedef sektörler: İnşaat, eğlence, finansal hizmetler, yüksek teknoloji, devlet, medya, telekomünikasyon ve perakende.
- Kullanılan zafiyet: CVE-2025-55182 (kimlik doğrulaması gerektirmeyen uzaktan kod yürütme).
- Saldırı zinciri: Savunmasız Next.js örneklerinin tespiti → otomatik kabuk betiği yerleştirme → zararlı yüklerin indirilip çalıştırılması → C2 iletişimi ve kalıcılık sağlanması.
- Önerilen savunma: Hızlı yama uygulaması, ağ segmentasyonu, MFA, kapsamlı loglama ve EDR ile anomali tespiti.
Kurumsal Senaryo
Bir finans kurumu, React-server-dom tabanlı müşteri portalında güncellemeleri geciktirdiğinde, saldırganlar otomatik araçlarla sisteme sızıyor. PeerBlight arka kapısı ile kalıcılık sağlanıyor, ardından XMRig kripto madencisi yüklenerek kaynaklar kötüye kullanılıyor. SOC ekibi, anormal systemd servis aktiviteleri ve C2 bağlantılarını tespit ederek müdahale ediyor. Bu senaryo, bulut güvenliği ve olay müdahale süreçlerinin önemini vurguluyor.