剣 KENSAI
← All posts · security · 2026-04-03

Next.js React2Shell-Exploit kompromittiert 766 Hosts im großen Stil, Drift Protocol verliert 280 Mio. $ durch Solana-Multisig-Hack, Cisco patcht zwei kritische 9.8-CVSS-Schwachstellen, ShareFile Pre-Auth-RCE-Kette bedroht 30.000 Instanzen


🔴 Next.js React2Shell im großen Stil ausgenutzt — 766 Hosts durch NEXUS-Listener-Kampagne kompromittiert

⚠️ KRITISCH — Next.js sofort patchen (CVE-2025-55182, CVSS 10.0)

Eine groß angelegte automatisierte Credential-Harvesting-Operation nutzt die React2Shell-Schwachstelle in Next.js App-Router-Bereitstellungen aktiv aus. Mindestens 766 Hosts bei mehreren Cloud-Anbietern wurden kompromittiert. Rotieren Sie alle Geheimnisse auf betroffenen Hosts.

Cisco Talos hat einen detaillierten Bericht über UAT-10608 veröffentlicht, einen Bedrohungscluster, der eine industrielle Credential-Harvesting-Operation durch Ausnutzung von CVE-2025-55182 betreibt — der kritischen React Server Components / Next.js App Router-Schwachstelle, bekannt als React2Shell, die Remote-Code-Ausführung ermöglicht.

Der Angriff ist hochgradig automatisiert: Der Bedrohungsakteur scannt nach öffentlich erreichbaren Next.js-Deployments, testet sie auf die Schwachstelle und installiert das NEXUS Listener-Sammlungsframework — ein mehrphasiges Harvesting-Toolkit, das jetzt in seiner dritten Hauptversion vorliegt.

Was gestohlen wird

  • Umgebungsvariablen aus OS und JS-Runtime
  • SSH Private Keys und authorized_keys-Dateien
  • Shell-Befehlshistorie (.bash_history, .zsh_history)
  • Kubernetes Service Account Tokens
  • Docker-Container-Konfigurationen (Images, Ports, Netzwerke, Mounts, Umgebungsvariablen)
  • Cloud-IAM-Zugangsdaten über Instance Metadata Service für AWS, GCP und Azure
  • API-Schlüssel — Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid, Brevo, GitHub, GitLab
  • Datenbank-Verbindungszeichenfolgen und Telegram-Bot-Tokens

NEXUS Listener C2-Dashboard

Die exfiltrierten Daten fließen in eine passwortgeschützte Web-GUI namens NEXUS Listener V3, die dem Angreifer durchsuchbaren Zugriff auf alle kompromittierten Hosts, gestohlenen Zugangsdaten und Analysen bietet. Talos erlangte Daten von einer ungeschützten NEXUS-Listener-Instanz und bestätigte das Ausmaß des gestohlenen Materials.

Das wahllose Zielmuster deutet darauf hin, dass UAT-10608 automatisierte Scanner (Shodan, Censys oder benutzerdefinierte) verwendet, um verwundbare Next.js-Deployments im Internet-Maßstab zu identifizieren. Organisationen mit Next.js App Router sollten sofort patchen und alle Geheimnisse rotieren — AWS-Schlüssel, Datenbank-Zugangsdaten, SSH-Schlüssel und API-Tokens — auf jedem potenziell exponierten Host.


💰 Drift Protocol verliert 280 Millionen Dollar durch ausgeklügelten Solana-Multisig-Hack

⚠️ KRITISCH — Alle Drift-Protocol-Funktionen eingefroren

Über 280 Mio. $ wurden aus Drift Protocol abgezogen, nachdem ein Angreifer die Security-Council-Multisig-Befugnisse über vorzeichnete Durable-Nonce-Transaktionen übernommen hat. Einlagen, Vaults und Handelsgelder sind betroffen. Keine Einzahlungen vornehmen.

Das Drift Protocol, eine führende DeFi-Handelsplattform auf der Solana-Blockchain mit 200.000 Händlern und einem Gesamthandelsvolumen von 55 Milliarden Dollar, verlor mindestens 280 Millionen Dollar bei einem akribisch geplanten Raub, der keine Smart-Contract-Schwachstelle ausnutzte.

Attack Timeline

DatumAktion
23.–30. MärzAngreifer richtet Durable-Nonce-Accounts ein, erhält 2/5 Multisig-Genehmigungen von Security-Council-Mitgliedern
1. April (Ausführung)Legitime Transaktion ausgeführt, unmittelbar gefolgt von vorzeichneten bösartigen Transaktionen
Minuten späterAdmin-Kontrolle an Angreifer übertragen, bösartiges Asset eingeführt, Abhebungslimits entfernt
1. April (Abzug)Über 280 Mio. $ aus Protokollreserven abgezogen

Was diesen Angriff anders macht

Der Angreifer nutzte Durable Nonce Accounts — eine Solana-Funktion, die vorzeichnete Transaktionen unbegrenzt gültig hält — um den Raub tagelang vorzubereiten. Durch Erlangung der minimalen 2-von-5-Security-Council-Genehmigungen und Vorzeichnung bösartiger Transaktionen konnte der Angreifer den Abzug mit chirurgischer Präzision zum gewählten Zeitpunkt ausführen.

Dies war kein Smart-Contract-Bug oder Flash-Loan-Angriff — es war eine Governance-Level-Kompromittierung, die das Vertrauensmodell der Multisig-Administration ausnutzte. Drift arbeitet mit Sicherheitsfirmen, Börsen und Strafverfolgungsbehörden zusammen, um die gestohlenen Gelder zu verfolgen und einzufrieren. DSOL ist nicht betroffen und die Versicherungsfonds-Vermögenswerte sind gesichert.


🛡️ Cisco patcht zwei kritische 9.8-CVSS-Schwachstellen in IMC und SSM

⚠️ KRITISCH — IMC (CVE-2026-20093) und SSM (CVE-2026-20160) sofort patchen

Beide Schwachstellen ermöglichen nicht authentifizierten Remote-Angreifern Admin-/Root-Zugriff. Keine Workarounds verfügbar — Patchen ist die einzige Abhilfe.

CVE-2026-20093 — IMC-Authentifizierungsumgehung (CVSS 9.8)

Eine Schwachstelle im Cisco Integrated Management Controller ermöglicht nicht authentifizierten Remote-Angreifern die Umgehung der Authentifizierung durch manipulierte HTTP-Anfragen. Erfolgreiche Ausnutzung erlaubt Angreifern, Passwörter aller Benutzer einschließlich Admins zu ändern und vollen Systemzugang zu erlangen.

Affected ProductFixed Version
5000 Series ENCS4.15.5
Catalyst 8300 Edge uCPE4.18.3
UCS C-Series M5/M6 Rack Servers4.3(2.260007), 4.3(6.260017), 6.0(1.250174)
UCS E-Series M33.2.17
UCS E-Series M64.15.3

CVE-2026-20160 — SSM On-Prem Befehlsinjektion (CVSS 9.8)

Eine unbeabsichtigte Offenlegung eines internen Dienstes in Cisco Smart Software Manager On-Prem ermöglicht nicht authentifizierten Angreifern die Ausführung beliebiger Befehle mit Root-Privilegien über manipulierte API-Anfragen. Behoben in SSM On-Prem Version 9-202601.

Obwohl keine der Schwachstellen bisher in freier Wildbahn ausgenutzt wurde, wurden kürzlich offengelegte Cisco-Schwachstellen schnell von Bedrohungsakteuren bewaffnet. Ohne verfügbare Workarounds ist sofortiges Patchen die einzige Verteidigung.


📁 Progress ShareFile Pre-Auth-RCE-Kette — 30.000 Instanzen exponiert

🟠 HOCH — ShareFile Storage Zones Controller auf 5.12.4 patchen

Zwei verkettete Schwachstellen ermöglichen nicht authentifizierte Remote-Code-Ausführung auf Progress ShareFile Storage Zones Controller. Etwa 30.000 Instanzen sind im Internet exponiert.

Die offensive Sicherheitsfirma watchTowr hat eine verheerende Zwei-Bug-Kette in Progress ShareFile Storage Zones Controller (SZC) offengelegt — die On-Premises-Komponente, die Unternehmen Kontrolle über ihre Dateispeicherung gibt:

  • CVE-2026-2699 — Authentifizierungsumgehung durch unsachgemäße HTTP-Redirect-Behandlung gewährt Zugang zur ShareFile-Admin-Oberfläche
  • CVE-2026-2701 — Remote-Code-Ausführung durch Datei-Upload- und Extraktionsfunktionalität ermöglicht Platzierung bösartiger ASPX-Webshells

Warum das wichtig ist

Dateiübertragungslösungen sind Hauptziele für Ransomware-Gruppen — die Clop-Gang hat zuvor Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT, MOVEit Transfer, Gladinet CentreStack und Cleo angegriffen. Mit ~30.000 SZC-Instanzen im Internet exponiert (700 von ShadowServer bestätigt) folgt diese Schwachstellenkette demselben hochwertigen Muster.

Patches sind seit dem 10. März in ShareFile 5.12.4 verfügbar. Organisationen, die ShareFile mit On-Premises-Speicherzonen betreiben, sollten dies als Notfallpriorität behandeln.


🍎 Apple erweitert iOS 18.7.7 gegen DarkSword-Exploit-Kit

Apple hat die Verfügbarkeit von iOS 18.7.7 und iPadOS 18.7.7 auf eine breitere Palette von Geräten ausgedehnt, um vor dem DarkSword-Exploit-Kit zu schützen — einem iOS-Angriffs-Toolkit, das seit Juli 2025 aktiv ist und Nutzer in Saudi-Arabien, der Türkei, Malaysia und der Ukraine angreift.

Das erweiterte Update deckt jetzt alle iPhones vom XR bis iPhone 16e und eine breite Palette von iPads ab. Dies ist ein ungewöhnlicher Schritt für Apple — anstatt Nutzer zum Sprung auf iOS 26 zu zwingen, portiert das Unternehmen kritische Sicherheitsfixes zurück, damit Nutzer auf iOS 18 bleiben und geschützt sein können.

Nutzer mit aktivierten automatischen Updates erhalten den Patch automatisch. Wer noch nicht aktualisiert hat, sollte dies umgehend tun.


📋 Kurzmeldungen

  • Claude-Code-Leak für Malware missbraucht: Bedrohungsakteure verteilen Vidar Infostealer und GhostSocks Proxy-Tool über gefälschte GitHub-Repositories, die vorgeben, den geleakten Claude-Code-Quellcode zu enthalten. Die bösartigen Repos ranken hoch in Google-Suchergebnissen und liefern einen Rust-basierten Dropper via 7-Zip-Archiv.
  • Stryker nach Wiper-Angriff voll einsatzfähig: Der Medizintechnikkonzern Stryker hat den Betrieb drei Wochen nach dem Wiper-Angriff der iranisch-verbundenen Handala-Hacktivistengruppe auf fast 80.000 Geräte wiederhergestellt. CISA und Microsoft veröffentlichten Leitfäden zur Absicherung von Intune, das FBI beschlagnahmte zwei Handala-Websites.
  • Residential Proxies umgehen 78% der IP-Prüfungen: Forschungsergebnisse zeigen, dass Residential Proxies für bösartigen Datenverkehr IP-Reputationssysteme in 78% von 4 Milliarden analysierten Sitzungen erfolgreich umgehen, was traditionelle IP-basierte Sicherheitskontrollen zunehmend unzuverlässig macht.
  • Trusted Open Source Report 2026: Chainguards Bericht zur Lage vertrauenswürdiger Open Source hebt hervor, wie KI-beschleunigte Entwicklung die Sicherheitslandschaft umgestaltet, mit Analyse von über 2.200 Container-Images und Sprachbibliotheken.

🛡️ Empfohlene Maßnahmen

  1. Next.js: Alle Next.js App-Router-Deployments sofort gegen CVE-2025-55182 patchen. Alle Geheimnisse (AWS, SSH, Datenbank, API-Schlüssel) auf potenziell exponierten Hosts rotieren.
  2. DeFi-Governance: Multisig-Konfigurationen überprüfen — sicherstellen, dass Schwellenwertanforderungen ausreichend sind und Zeitschlösser für Admin-Operationen implementieren.
  3. Cisco: Patches für CVE-2026-20093 (IMC) und CVE-2026-20160 (SSM On-Prem) unverzüglich anwenden. Keine Workarounds vorhanden.
  4. ShareFile: ShareFile Storage Zones Controller auf Version 5.12.4 aktualisieren. Auf Webshells im SZC-Webroot prüfen.
  5. Apple: Alle iOS/iPadOS-Geräte auf 18.7.7 oder höher aktualisieren. Automatische Updates flottenweit aktivieren.
  6. Claude-Code-Betrug: Entwicklungsteams vor gefälschten Claude-Code-Repositories auf GitHub warnen, die Vidar-Malware verteilen.

Bleiben Sie der Bedrohungskurve voraus

Tägliche Sicherheitsintelligenz ohne Rauschen.

KENSAI entdecken →

KENSAI Security Briefing — 3. April 2026
Zusammengestellt aus Cisco Talos, BleepingComputer, The Hacker News, watchTowr Labs, Apple Security Updates und PeckShield Intelligence Feeds.

All posts · Permalink