剣 KENSAI
← All posts · security · 2026-04-03

Next.js React2Shellが大規模に悪用され766ホストが侵害、Drift ProtocolがSolanaマルチシグハックで2.8億ドル損失、Ciscoが2つの9.8 CVSS深刻な脆弱性をパッチ、ShareFile認証前RCEチェーンが30Kインスタンスを露出


🔴 Next.js React2Shellが大規模に悪用——NEXUS Listenerキャンペーンで766ホストが侵害

⚠️ 深刻——Next.jsを直ちにパッチ(CVE-2025-55182、CVSS 10.0)

大規模な自動認証情報収集オペレーションがNext.js App RouterデプロイメントのReact2Shell脆弱性を積極的に悪用しています。複数のクラウドプロバイダーで少なくとも766ホストが侵害されています。影響を受けたホストのすべてのシークレットをローテーションしてください。

Cisco TalosUAT-10608に関する詳細なレポートを公開しました——CVE-2025-55182React2Shellとして知られるReact Server Components / Next.js App Routerの深刻な脆弱性でリモートコード実行を可能にする)を悪用して産業規模の認証情報収集オペレーションを実行している脅威クラスターです。

攻撃は高度に自動化されています:脅威アクターは公開されているNext.jsデプロイメントをスキャンし、脆弱性をプローブし、NEXUS Listener収集フレームワーク——現在第3のメジャーバージョンにあるマルチフェーズ収集ツールキット——をデプロイします。

窃取される情報

  • 環境変数——OSとJSランタイムから
  • SSH秘密鍵とauthorized_keysファイル
  • シェルコマンド履歴(.bash_history、.zsh_history)
  • Kubernetesサービスアカウントトークン
  • Dockerコンテナ設定(イメージ、ポート、ネットワーク、マウント、環境変数)
  • クラウドIAM認証情報——AWS、GCP、AzureのInstance Metadata Service経由
  • APIキー——Stripe、OpenAI、Anthropic、NVIDIA NIM、SendGrid、Brevo、GitHub、GitLab
  • データベース接続文字列とTelegramボットトークン

NEXUS Listener C2ダッシュボード

外部に流出したデータはNEXUS Listener V3と呼ばれるパスワード保護されたWeb GUIに送られ、攻撃者にすべての侵害されたホスト、盗まれた認証情報、分析データへの検索可能なアクセスを提供します。Talosは認証されていないNEXUS Listenerインスタンスからデータを取得し、盗まれた資料の範囲を確認しました。

無差別なターゲットパターンは、UAT-10608が自動スキャナー(Shodan、Censys、またはカスタム)を使用してインターネットスケールで脆弱なNext.jsデプロイメントを識別していることを示唆しています。App RouterでNext.jsを実行している組織は直ちにパッチし、露出した可能性のあるホストですべてのシークレットをローテーションしてください——AWSキー、データベース認証情報、SSHキー、APIトークン。


💰 Drift Protocolが高度なSolanaマルチシグハックで2.8億ドル損失

⚠️ 深刻——Drift Protocolの全機能が凍結

攻撃者が事前署名されたdurable nonceトランザクションを使用してSecurity Councilマルチシグ権限を乗っ取った後、Drift Protocolから2.8億ドル以上が引き出されました。貸借預金、ボールト預金、取引資金が影響を受けています。資金を預けないでください。

Drift Protocolは、20万人のトレーダーと550億ドルの総取引量を持つSolanaブロックチェーン上の主要なDeFi取引プラットフォームで、スマートコントラクトの脆弱性を悪用しない綿密に計画された強盗で少なくとも2.8億ドルを失いました。

日付アクション
3月23~30日攻撃者がdurable nonceアカウントを設定、Security Councilメンバーから2/5のマルチシグ承認を取得
4月1日(実行)正当なトランザクションが実行され、直後に事前署名された悪意のあるトランザクションが続く
数分後管理権限が攻撃者に移転、悪意のある資産が導入、引き出し制限が撤廃
4月1日(引き出し)プロトコル準備金から2.8億ドル以上が引き出される

この攻撃が異なる点

攻撃者はdurable nonceアカウント——事前署名されたトランザクションを無期限に有効に保つSolanaの機能——を活用し、数日前から強盗を準備しました。最低限の2/5 Security Council承認を取得し、悪意のあるトランザクションに事前署名することで、攻撃者は選択した瞬間に外科的精度で引き出しを実行できました。

これはスマートコントラクトのバグやフラッシュローン攻撃ではありませんでした——マルチシグ管理の信頼モデルを悪用したガバナンスレベルの侵害でした。Driftはセキュリティ企業、取引所、法執行機関と協力して盗まれた資金の追跡と凍結に取り組んでいます。DSOLは影響を受けず、保険基金の資産は確保されています。


🛡️ CiscoがIMCとSSMの2つの9.8 CVSS深刻な脆弱性をパッチ

⚠️ 深刻——IMC(CVE-2026-20093)とSSM(CVE-2026-20160)を直ちにパッチ

両方の脆弱性は、認証されていないリモート攻撃者がadmin/rootアクセスを取得することを可能にします。回避策はありません——パッチ適用が唯一の緩和策です。

CVE-2026-20093——IMC認証バイパス(CVSS 9.8)

Cisco Integrated Management Controllerの脆弱性により、認証されていないリモート攻撃者が細工されたHTTPリクエストを送信して認証をバイパスできます。悪用に成功すると、攻撃者は管理者を含む任意のユーザーのパスワードを変更し、完全なシステムアクセスを取得できます。

Affected ProductFixed Version
5000 Series ENCS4.15.5
Catalyst 8300 Edge uCPE4.18.3
UCS C-Series M5/M6 Rack Servers4.3(2.260007), 4.3(6.260017), 6.0(1.250174)
UCS E-Series M33.2.17
UCS E-Series M64.15.3

CVE-2026-20160——SSM On-Premコマンドインジェクション(CVSS 9.8)

Cisco Smart Software Manager On-Premの内部サービスの意図しない公開により、認証されていない攻撃者が細工されたAPIリクエストを通じてroot権限で任意のコマンドを実行できます。SSM On-Premバージョン9-202601で修正されています。

両方の脆弱性はまだ野外で悪用されていませんが、最近公開されたCiscoの脆弱性は脅威アクターによって急速に武器化されています。回避策がないため、即座のパッチ適用が唯一の防御です。


📁 Progress ShareFile認証前RCEチェーン——30,000インスタンスが露出

🟠 高——ShareFile Storage Zones Controllerを5.12.4にパッチ

チェーンされた2つの脆弱性がProgress ShareFile Storage Zones Controller上で認証されていないリモートコード実行を可能にします。約30,000インスタンスがインターネットに公開されています。

攻撃的セキュリティ企業watchTowrProgress ShareFile Storage Zones Controller(SZC)の壊滅的な2つのバグチェーンを公開しました——企業にファイルストレージの制御を提供するオンプレミスコンポーネント:

  • CVE-2026-2699——不適切なHTTPリダイレクト処理による認証バイパスがShareFile管理インターフェースへのアクセスを許可
  • CVE-2026-2701——ファイルアップロードおよび抽出機能によるリモートコード実行で、悪意のあるASPX Webシェルの配置が可能に

なぜこれが重要か

ファイル転送ソリューションはランサムウェアグループの主要ターゲットです——Clopギャングは以前、Accellion FTA、SolarWinds Serv-U、GoAnywhere MFT、MOVEit Transfer、Gladinet CentreStack、Cleoを攻撃しています。インターネット上に約30,000のSZCインスタンスが公開されている(ShadowServerが700を確認)中、この脆弱性チェーンは同じ高価値パターンに従っています。

パッチは3月10日からShareFile 5.12.4で利用可能です。オンプレミスストレージゾーンでShareFileを実行している組織はこれを緊急優先事項として扱うべきです。


🍎 AppleがDarkSwordエクスプロイトキットをブロックするためiOS 18.7.7を拡大

AppleはDarkSwordエクスプロイトキット——2025年7月以来活動しているiOS攻撃ツールキットでサウジアラビア、トルコ、マレーシア、ウクライナのユーザーを標的にしている——から保護するため、iOS 18.7.7およびiPadOS 18.7.7の利用可能範囲をより広いデバイスに拡大しました。

拡大されたアップデートはXRからiPhone 16eまでのすべてのiPhoneと幅広いiPadをカバーしています。これはAppleにとって異例の動きです——iOS 26への移行を要求する代わりに、ユーザーがiOS 18上で保護された状態を維持できるよう重要なセキュリティ修正をバックポートしています。

自動アップデートが有効なユーザーは自動的にパッチを受け取ります。まだアップデートしていないユーザーは直ちにアップデートすることを強く推奨します。


📋 クイックヒット

  • Claude Codeリークがマルウェアに悪用:脅威アクターが、リークされたClaude Codeソースを装った偽のGitHubリポジトリを通じてVidarインフォスティーラーGhostSocksプロキシツールを配布しています。
  • Strykerがワイパー攻撃後に完全復旧:Strykerはイラン関連のHandalaハクティビストグループが約80,000台のデバイスをワイプした3週間後に運用を回復しました。
  • レジデンシャルプロキシがIP検査の78%を回避:悪意のあるトラフィックルーティングに使用されるレジデンシャルプロキシが40億の分析セッションの78%でIPレピュテーションシステムを回避していることが研究で判明。
  • 2026年信頼できるオープンソースレポート:Chainguardのレポートが、AI加速開発がセキュリティランドスケープをどのように再形成しているかを強調。

🛡️ 推奨アクション

  1. Next.js:すべてのNext.js App RouterデプロイメントをCVE-2025-55182に対して直ちにパッチ。露出した可能性のあるホストですべてのシークレット(AWS、SSH、データベース、APIキー)をローテーション。
  2. DeFiガバナンス:マルチシグ設定を見直し——閾値要件が十分であることを確認し、管理操作にタイムロックを実装。
  3. Cisco:CVE-2026-20093(IMC)とCVE-2026-20160(SSM On-Prem)のパッチを遅滞なく適用。
  4. ShareFile:ShareFile Storage Zones Controllerをバージョン5.12.4にアップグレード。
  5. Apple:すべてのiOS/iPadOSデバイスが18.7.7以降にアップデートされていることを確認。
  6. Claude Code詐欺:Vidarマルウェアを配布するGitHub上の偽Claude Codeリポジトリについて開発チームに警告。

脅威カーブの先を行く

ノイズゼロの日次セキュリティインテリジェンス。

KENSAIを探索 →

KENSAIセキュリティブリーフィング——2026年4月3日
Cisco Talos、BleepingComputer、The Hacker News、watchTowr Labs、Apple Security Updates、PeckShieldインテリジェンスフィードから編集。

All posts · Permalink