剣 KENSAI
← All posts · security · 2026-04-03

Exploit React2Shell di Next.js compromette 766 host su larga scala, Drift Protocol perde $280M in hack Solana Multisig, Cisco corregge due falle critiche CVSS 9.8, Catena RCE pre-autenticazione ShareFile espone 30.000 istanze


🔴 Next.js React2Shell sfruttato su larga scala — 766 host compromessi dalla campagna NEXUS Listener

⚠️ CRITICO — Aggiornare Next.js immediatamente (CVE-2025-55182, CVSS 10.0)

Un'operazione automatizzata di raccolta credenziali su larga scala sta sfruttando attivamente la vulnerabilità React2Shell nei deployment Next.js App Router. Almeno 766 host presso più provider cloud sono stati compromessi. Ruotare tutti i segreti sugli host interessati.

Cisco Talos ha pubblicato un rapporto dettagliato su UAT-10608, un cluster di minacce che gestisce un'operazione industriale di raccolta credenziali sfruttando CVE-2025-55182 — la falla critica React Server Components / Next.js App Router nota come React2Shell, che consente l'esecuzione remota di codice.

L'attacco è altamente automatizzato: l'attore della minaccia scansiona i deployment Next.js raggiungibili pubblicamente, li testa per la vulnerabilità e distribuisce il framework di raccolta NEXUS Listener — un toolkit di harvesting multifase ora alla sua terza versione principale.

Cosa viene rubato

  • Variabili d'ambiente del SO e runtime JS
  • Chiavi private SSH e file authorized_keys
  • Cronologia comandi shell (.bash_history, .zsh_history)
  • Token account di servizio Kubernetes
  • Configurazioni container Docker (immagini, porte, reti, mount, variabili d'ambiente)
  • Credenziali Cloud IAM tramite Instance Metadata Service per AWS, GCP e Azure
  • Chiavi API — Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid, Brevo, GitHub, GitLab
  • Stringhe di connessione database e token bot Telegram

Dashboard C2 NEXUS Listener

I dati esfiltrati confluiscono in una GUI web protetta da password chiamata NEXUS Listener V3, che offre all'attaccante accesso ricercabile a tutti gli host compromessi, credenziali rubate e analisi. Talos ha ottenuto dati da un'istanza NEXUS Listener non autenticata, confermando l'ampiezza del materiale rubato.

Il pattern di targeting indiscriminato suggerisce che UAT-10608 utilizza scanner automatizzati per identificare deployment Next.js vulnerabili su scala Internet. Le organizzazioni con Next.js App Router dovrebbero applicare immediatamente le patch e ruotare tutti i segreti su ogni host potenzialmente esposto.


💰 Drift Protocol perde 280 milioni di dollari in un sofisticato hack Solana Multisig

⚠️ CRITICO — Tutte le funzioni di Drift Protocol congelate

Oltre $280M drenati da Drift Protocol dopo che un attaccante ha preso il controllo dei poteri multisig del Security Council tramite transazioni durable nonce pre-firmate. Depositi, vault e fondi di trading sono interessati. Non depositare fondi.

Il Drift Protocol, una piattaforma di trading DeFi leader sulla blockchain Solana con 200.000 trader e $55 miliardi di volume totale, ha perso almeno 280 milioni di dollari in un furto meticolosamente pianificato che non ha sfruttato alcuna vulnerabilità di smart contract.

DataAzione
23–30 marzoL'attaccante configura account durable nonce, ottiene 2/5 approvazioni multisig dai membri del Security Council
1 aprile (esecuzione)Transazione legittima eseguita, immediatamente seguita da transazioni maligne pre-firmate
Minuti dopoControllo admin trasferito all'attaccante, asset maligno introdotto, limiti di prelievo rimossi
1 aprile (drenaggio)Oltre $280M drenati dalle riserve del protocollo

Cosa rende diverso questo attacco

L'attaccante ha sfruttato i Durable Nonce Accounts — una funzionalità Solana che mantiene le transazioni pre-firmate valide indefinitamente — per preparare il furto con giorni di anticipo.

Non si è trattato di un bug di smart contract o di un attacco flash loan — è stato un compromesso a livello di governance che ha sfruttato il modello di fiducia dell'amministrazione multisig. Drift sta lavorando con aziende di sicurezza, exchange e forze dell'ordine per tracciare e congelare i fondi rubati. DSOL non è interessato e gli asset del fondo assicurativo sono protetti.


🛡️ Cisco corregge due vulnerabilità critiche CVSS 9.8 in IMC e SSM

⚠️ CRITICO — Correggere IMC (CVE-2026-20093) e SSM (CVE-2026-20160) immediatamente

Entrambe le vulnerabilità consentono ad attaccanti remoti non autenticati di ottenere accesso admin/root. Nessun workaround disponibile — l'aggiornamento è l'unica soluzione.

CVE-2026-20093 — Bypass autenticazione IMC (CVSS 9.8)

Una falla nel Cisco Integrated Management Controller consente ad attaccanti remoti non autenticati di bypassare l'autenticazione inviando richieste HTTP manipolate. Lo sfruttamento riuscito consente agli attaccanti di modificare le password di qualsiasi utente, inclusi gli Admin.

Affected ProductFixed Version
5000 Series ENCS4.15.5
Catalyst 8300 Edge uCPE4.18.3
UCS C-Series M5/M6 Rack Servers4.3(2.260007), 4.3(6.260017), 6.0(1.250174)
UCS E-Series M33.2.17
UCS E-Series M64.15.3

CVE-2026-20160 — Iniezione comandi SSM On-Prem (CVSS 9.8)

Un'esposizione involontaria di un servizio interno in Cisco Smart Software Manager On-Prem consente ad attaccanti non autenticati di eseguire comandi arbitrari con privilegi root. Corretto nella versione 9-202601.

Sebbene nessuna delle vulnerabilità sia stata ancora sfruttata in natura, le falle Cisco recentemente divulgate sono state rapidamente armate dagli attori delle minacce. Senza workaround disponibili, l'aggiornamento immediato è l'unica difesa.


📁 Catena RCE pre-auth Progress ShareFile — 30.000 istanze esposte

🟠 ALTO — Aggiornare ShareFile Storage Zones Controller a 5.12.4

Due vulnerabilità concatenate consentono l'esecuzione remota di codice non autenticata su Progress ShareFile Storage Zones Controller. Circa 30.000 istanze sono esposte su Internet.

La società di sicurezza offensiva watchTowr ha divulgato una catena devastante di due bug in Progress ShareFile Storage Zones Controller (SZC):

  • CVE-2026-2699 — Bypass di autenticazione tramite gestione errata dei redirect HTTP che concede accesso all'interfaccia admin di ShareFile
  • CVE-2026-2701 — Esecuzione remota di codice tramite funzionalità di upload e estrazione file, consentendo il posizionamento di webshell ASPX maligni

Perché è importante

Le soluzioni di trasferimento file sono obiettivi prioritari per i gruppi ransomware. Con ~30.000 istanze SZC esposte su Internet, questa catena di vulnerabilità segue lo stesso pattern ad alto valore.

Le patch sono disponibili dal 10 marzo in ShareFile 5.12.4. Le organizzazioni che eseguono ShareFile con zone di archiviazione on-premises dovrebbero trattare questo come una priorità di emergenza.


🍎 Apple espande iOS 18.7.7 contro il kit di exploit DarkSword

Apple ha espanso la disponibilità di iOS 18.7.7 e iPadOS 18.7.7 a una gamma più ampia di dispositivi per proteggere contro il kit di exploit DarkSword.

L'aggiornamento espanso copre ora tutti gli iPhone dall'XR all'iPhone 16e e un'ampia gamma di iPad.

Gli utenti con Aggiornamenti Automatici abilitati riceveranno la patch automaticamente. Chi non ha ancora aggiornato è invitato a farlo immediatamente.


📋 Notizie brevi

  • Leak di Claude Code sfruttato per malware: Attori delle minacce distribuiscono Vidar infostealer e GhostSocks tramite repository GitHub falsi.
  • Stryker pienamente operativa dopo attacco wiper: Il colosso medtech Stryker ha ripristinato le operazioni tre settimane dopo l'attacco wiper del gruppo hacktivista iraniano Handala.
  • Proxy residenziali eludono il 78% dei controlli IP: La ricerca mostra che i proxy residenziali eludono i sistemi di reputazione IP nel 78% di 4 miliardi di sessioni analizzate.

🛡️ Azioni raccomandate

  1. Next.js: Aggiornare tutti i deployment Next.js App Router contro CVE-2025-55182 immediatamente.
  2. Governance DeFi: Rivedere le configurazioni multisig e implementare blocchi temporali sulle operazioni admin.
  3. Cisco: Applicare le patch per CVE-2026-20093 (IMC) e CVE-2026-20160 (SSM On-Prem) senza ritardo.
  4. ShareFile: Aggiornare ShareFile Storage Zones Controller alla versione 5.12.4.
  5. Apple: Assicurarsi che tutti i dispositivi iOS/iPadOS siano aggiornati a 18.7.7 o successivo.

Resta un passo avanti alle minacce

Intelligence di sicurezza quotidiana senza rumore.

Scopri KENSAI →

KENSAI Security Briefing — 3 aprile 2026
Compilato da Cisco Talos, BleepingComputer, The Hacker News, watchTowr Labs, Apple Security Updates e PeckShield.

All posts · Permalink