Exploitation massive de Next.js React2Shell compromet 766 hôtes, Drift Protocol perd 280 M$ dans un hack Solana Multisig, Cisco corrige deux failles critiques CVSS 9.8, Chaîne RCE pré-authentification ShareFile expose 30 000 instances
🔴 Next.js React2Shell exploité à grande échelle — 766 hôtes compromis par la campagne NEXUS Listener
⚠️ CRITIQUE — Corrigez Next.js immédiatement (CVE-2025-55182, CVSS 10.0)
Une opération automatisée de collecte d'identifiants à grande échelle exploite activement la vulnérabilité React2Shell dans les déploiements Next.js App Router. Au moins 766 hôtes chez plusieurs fournisseurs cloud ont été compromis. Effectuez une rotation de tous les secrets sur tout hôte affecté.
Cisco Talos a publié un rapport détaillé sur UAT-10608, un cluster de menaces menant une opération industrielle de collecte d'identifiants en exploitant CVE-2025-55182 — la faille critique React Server Components / Next.js App Router connue sous le nom de React2Shell, permettant l'exécution de code à distance.
L'attaque est hautement automatisée : l'acteur malveillant scanne les déploiements Next.js accessibles publiquement, les teste pour la vulnérabilité et déploie le framework de collecte NEXUS Listener — un toolkit de harvesting multi-phases maintenant dans sa troisième version majeure.
Ce qui est volé
- Variables d'environnement de l'OS et du runtime JS
- Clés privées SSH et fichiers authorized_keys
- Historique des commandes shell (.bash_history, .zsh_history)
- Tokens de compte de service Kubernetes
- Configurations de conteneurs Docker (images, ports, réseaux, montages, variables d'environnement)
- Identifiants Cloud IAM via Instance Metadata Service pour AWS, GCP et Azure
- Clés API — Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid, Brevo, GitHub, GitLab
- Chaînes de connexion base de données et tokens de bots Telegram
Tableau de bord C2 NEXUS Listener
Les données exfiltrées alimentent une interface web protégée par mot de passe appelée NEXUS Listener V3, offrant à l'attaquant un accès consultable à tous les hôtes compromis, identifiants volés et analyses. Talos a obtenu des données d'une instance NEXUS Listener non authentifiée, confirmant l'ampleur du matériel volé.
Le ciblage indiscriminé suggère que UAT-10608 utilise des scanners automatisés (Shodan, Censys ou personnalisés) pour identifier les déploiements Next.js vulnérables à l'échelle d'Internet. Les organisations utilisant Next.js App Router doivent corriger immédiatement et effectuer une rotation de tous les secrets — clés AWS, identifiants de base de données, clés SSH et tokens API — sur tout hôte potentiellement exposé.
💰 Drift Protocol perd 280 millions de dollars dans un hack Solana Multisig sophistiqué
⚠️ CRITIQUE — Toutes les fonctions de Drift Protocol gelées
Plus de 280 M$ drainés de Drift Protocol après qu'un attaquant a pris le contrôle des pouvoirs multisig du Security Council via des transactions durable nonce pré-signées. Les dépôts, vaults et fonds de trading sont affectés. Ne déposez pas de fonds.
Le Drift Protocol, une plateforme de trading DeFi leader sur la blockchain Solana avec 200 000 traders et 55 milliards de dollars de volume total, a perdu au moins 280 millions de dollars dans un braquage méticuleusement planifié qui n'a exploité aucune vulnérabilité de smart contract.
| Date | Action |
|---|---|
| 23–30 mars | L'attaquant configure des comptes durable nonce, obtient 2/5 approbations multisig des membres du Security Council |
| 1er avril (exécution) | Transaction légitime exécutée, immédiatement suivie des transactions malveillantes pré-signées |
| Minutes plus tard | Contrôle admin transféré à l'attaquant, actif malveillant introduit, limites de retrait supprimées |
| 1er avril (drainage) | Plus de 280 M$ drainés des réserves du protocole |
Ce qui rend cette attaque différente
L'attaquant a exploité les Durable Nonce Accounts — une fonctionnalité Solana qui maintient les transactions pré-signées valides indéfiniment — pour préparer le braquage des jours à l'avance. En obtenant le minimum de 2 approbations sur 5 du Security Council et en pré-signant des transactions malveillantes, l'attaquant a pu exécuter le drainage avec une précision chirurgicale au moment choisi.
Il ne s'agissait pas d'un bug de smart contract ou d'une attaque flash loan — c'était une compromission au niveau de la gouvernance exploitant le modèle de confiance de l'administration multisig. Drift travaille avec des firmes de sécurité, des exchanges et les forces de l'ordre pour tracer et geler les fonds volés. DSOL n'est pas affecté et les actifs du fonds d'assurance sont sécurisés.
🛡️ Cisco corrige deux vulnérabilités critiques CVSS 9.8 dans IMC et SSM
⚠️ CRITIQUE — Corrigez IMC (CVE-2026-20093) et SSM (CVE-2026-20160) immédiatement
Les deux vulnérabilités permettent à des attaquants distants non authentifiés d'obtenir un accès admin/root. Aucun contournement disponible — la mise à jour est la seule solution.
CVE-2026-20093 — Contournement d'authentification IMC (CVSS 9.8)
Une faille dans le Cisco Integrated Management Controller permet à des attaquants distants non authentifiés de contourner l'authentification en envoyant des requêtes HTTP forgées. Une exploitation réussie permet aux attaquants de modifier les mots de passe de tout utilisateur, y compris les Admins, et d'obtenir un accès complet au système.
| Affected Product | Fixed Version |
|---|---|
| 5000 Series ENCS | 4.15.5 |
| Catalyst 8300 Edge uCPE | 4.18.3 |
| UCS C-Series M5/M6 Rack Servers | 4.3(2.260007), 4.3(6.260017), 6.0(1.250174) |
| UCS E-Series M3 | 3.2.17 |
| UCS E-Series M6 | 4.15.3 |
CVE-2026-20160 — Injection de commandes SSM On-Prem (CVSS 9.8)
Une exposition involontaire d'un service interne dans Cisco Smart Software Manager On-Prem permet à des attaquants non authentifiés d'exécuter des commandes arbitraires avec des privilèges root via des requêtes API forgées. Corrigé dans SSM On-Prem version 9-202601.
Bien qu'aucune des vulnérabilités n'ait été exploitée dans la nature, les failles Cisco récemment divulguées ont été rapidement armées par les acteurs malveillants. Sans contournement disponible, la mise à jour immédiate est la seule défense.
📁 Chaîne RCE pré-auth Progress ShareFile — 30 000 instances exposées
🟠 ÉLEVÉ — Mettez à jour ShareFile Storage Zones Controller vers 5.12.4
Deux vulnérabilités chaînées permettent l'exécution de code à distance non authentifiée sur Progress ShareFile Storage Zones Controller. Environ 30 000 instances sont exposées sur Internet.
La société de sécurité offensive watchTowr a divulgué une chaîne de deux bugs dévastatrice dans Progress ShareFile Storage Zones Controller (SZC) — le composant on-premises qui donne aux entreprises le contrôle de leur stockage de fichiers :
- CVE-2026-2699 — Contournement d'authentification via gestion incorrecte des redirections HTTP donnant accès à l'interface admin ShareFile
- CVE-2026-2701 — Exécution de code à distance via fonctionnalité d'upload et d'extraction de fichiers, permettant le placement de webshells ASPX malveillants
Pourquoi c'est important
Les solutions de transfert de fichiers sont des cibles privilégiées pour les groupes de ransomware — le gang Clop a précédemment attaqué Accellion FTA, SolarWinds Serv-U, GoAnywhere MFT, MOVEit Transfer, Gladinet CentreStack et Cleo. Avec ~30 000 instances SZC exposées sur Internet (700 confirmées par ShadowServer), cette chaîne de vulnérabilités suit le même schéma de haute valeur.
Les correctifs sont disponibles depuis le 10 mars dans ShareFile 5.12.4. Les organisations utilisant ShareFile avec des zones de stockage on-premises doivent traiter cela comme une priorité d'urgence.
🍎 Apple élargit iOS 18.7.7 contre le kit d'exploitation DarkSword
Apple a élargi la disponibilité d'iOS 18.7.7 et iPadOS 18.7.7 à une gamme plus large d'appareils pour protéger contre le kit d'exploitation DarkSword — un toolkit d'attaque iOS actif depuis juillet 2025, ciblant les utilisateurs en Arabie saoudite, en Turquie, en Malaisie et en Ukraine.
La mise à jour élargie couvre maintenant tous les iPhones du XR à l'iPhone 16e et une large gamme d'iPads. C'est un mouvement inhabituel pour Apple — plutôt que d'exiger des utilisateurs de passer à iOS 26, l'entreprise rétroporte les correctifs de sécurité critiques pour permettre aux utilisateurs de rester sur iOS 18 tout en étant protégés.
Les utilisateurs ayant activé les mises à jour automatiques recevront le correctif automatiquement. Ceux qui n'ont pas encore mis à jour sont invités à le faire immédiatement.
📋 En bref
- Fuite Claude Code exploitée pour du malware : Des acteurs malveillants distribuent le voleur d'informations Vidar et l'outil proxy GhostSocks via de faux dépôts GitHub prétendant contenir le code source Claude Code fuité. Les dépôts malveillants sont bien classés dans les résultats Google et livrent un dropper basé sur Rust via archive 7-Zip.
- Stryker pleinement opérationnel après attaque wiper : Le géant medtech Stryker a restauré ses opérations trois semaines après que le groupe hacktiviste iranien Handala a effacé près de 80 000 appareils. CISA et Microsoft ont publié des guides pour sécuriser Intune, et le FBI a saisi deux sites Handala.
- Les proxies résidentiels contournent 78% des vérifications IP : La recherche montre que les proxies résidentiels utilisés pour le trafic malveillant contournent avec succès les systèmes de réputation IP dans 78% de 4 milliards de sessions analysées.
- Rapport Open Source de confiance 2026 : Le rapport de Chainguard sur l'état de l'open source sécurisé souligne comment le développement accéléré par l'IA transforme le paysage de la sécurité.
🛡️ Actions recommandées
- Next.js : Corrigez tous les déploiements Next.js App Router contre CVE-2025-55182 immédiatement. Effectuez une rotation de tous les secrets sur tout hôte potentiellement exposé.
- Gouvernance DeFi : Revoyez les configurations multisig — assurez-vous que les seuils sont suffisants et implémentez des verrouillages temporels sur les opérations admin.
- Cisco : Appliquez les correctifs pour CVE-2026-20093 (IMC) et CVE-2026-20160 (SSM On-Prem) sans délai.
- ShareFile : Mettez à jour ShareFile Storage Zones Controller vers la version 5.12.4. Auditez pour des webshells dans le webroot SZC.
- Apple : Assurez-vous que tous les appareils iOS/iPadOS sont mis à jour vers 18.7.7 ou plus.
- Arnaque Claude Code : Avertissez les équipes de développement des faux dépôts Claude Code sur GitHub distribuant le malware Vidar.
Gardez une longueur d'avance sur les menaces
Renseignements de sécurité quotidiens sans bruit.
Découvrir KENSAI →KENSAI Security Briefing — 3 avril 2026
Compilé à partir de Cisco Talos, BleepingComputer, The Hacker News, watchTowr Labs, Apple Security Updates et PeckShield.