Next.js React2Shell-exploit compromitteert 766 hosts op grote schaal, Drift Protocol verliest $280M door Solana Multisig-hack, Cisco patcht twee kritieke 9.8 CVSS-kwetsbaarheden, ShareFile Pre-Auth RCE-keten bedreigt 30.000 instanties
🔴 Next.js React2Shell op grote schaal misbruikt — 766 hosts gecompromitteerd door NEXUS Listener-campagne
⚠️ KRITIEK — Patch Next.js onmiddellijk (CVE-2025-55182, CVSS 10.0)
Een grootschalige geautomatiseerde credential-harvesting-operatie maakt actief misbruik van de React2Shell-kwetsbaarheid in Next.js App Router-deployments. Minimaal 766 hosts bij meerdere cloudproviders zijn gecompromitteerd. Roteer alle geheimen op getroffen hosts.
Cisco Talos heeft een gedetailleerd rapport gepubliceerd over UAT-10608, een dreigingscluster dat een industriële credential-harvesting-operatie uitvoert door misbruik van CVE-2025-55182 — de kritieke React Server Components / Next.js App Router-kwetsbaarheid bekend als React2Shell, die remote code-uitvoering mogelijk maakt.
De aanval is sterk geautomatiseerd: de dreigingsactor scant op publiek bereikbare Next.js-deployments, test ze op de kwetsbaarheid en installeert het NEXUS Listener-verzamelframework — een meerfasen harvesting-toolkit nu in zijn derde hoofdversie.
Wat wordt gestolen
- Omgevingsvariabelen van OS en JS-runtime
- SSH Private Keys en authorized_keys-bestanden
- Shell-opdrachtgeschiedenis (.bash_history, .zsh_history)
- Kubernetes Service Account Tokens
- Docker-containerconfiguraties (images, poorten, netwerken, mounts, omgevingsvariabelen)
- Cloud IAM-inloggegevens via Instance Metadata Service voor AWS, GCP en Azure
- API-sleutels — Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid, Brevo, GitHub, GitLab
- Databaseverbindingsstrings en Telegram-bottokens
NEXUS Listener C2-dashboard
De geëxfiltreerde gegevens stromen naar een met wachtwoord beveiligde web-GUI genaamd NEXUS Listener V3, die de aanvaller doorzoekbare toegang biedt tot alle gecompromitteerde hosts, gestolen inloggegevens en analyses. Talos verkreeg gegevens van een onbeveiligde NEXUS Listener-instantie, wat de omvang van het gestolen materiaal bevestigt.
Het willekeurige targetingpatroon suggereert dat UAT-10608 geautomatiseerde scanners (Shodan, Censys of aangepast) gebruikt om kwetsbare Next.js-deployments op internetschaal te identificeren. Organisaties met Next.js App Router moeten onmiddellijk patchen en alle geheimen roteren — AWS-sleutels, database-inloggegevens, SSH-sleutels en API-tokens — op elke potentieel blootgestelde host.
💰 Drift Protocol verliest 280 miljoen dollar door geavanceerde Solana Multisig-hack
⚠️ KRITIEK — Alle Drift Protocol-functies bevroren
Meer dan $280M onttrokken aan Drift Protocol nadat een aanvaller de Security Council multisig-bevoegdheden overnam via vooraf ondertekende durable nonce-transacties. Deposito's, vaults en handelsfondsenzijn getroffen. Stort geen fondsen.
Het Drift Protocol, een toonaangevend DeFi-handelsplatform op de Solana-blockchain met 200.000 traders en $55 miljard totaal handelsvolume, verloor minstens 280 miljoen dollar bij een nauwkeurig geplande kraak die geen smart contract-kwetsbaarheid misbruikte.
| Datum | Actie |
|---|---|
| 23–30 maart | Aanvaller stelt durable nonce-accounts in, verkrijgt 2/5 multisig-goedkeuringen van Security Council-leden |
| 1 april (uitvoering) | Legitieme transactie uitgevoerd, onmiddellijk gevolgd door vooraf ondertekende kwaadaardige transacties |
| Minuten later | Admin-controle overgedragen aan aanvaller, kwaadaardig asset geïntroduceerd, opnamelimieten verwijderd |
| 1 april (ontrekking) | Meer dan $280M onttrokken aan protocolreserves |
Wat deze aanval anders maakt
De aanvaller maakte gebruik van Durable Nonce Accounts — een Solana-functie die vooraf ondertekende transacties onbeperkt geldig houdt — om de kraak dagen van tevoren voor te bereiden. Door de minimale 2-van-5 Security Council-goedkeuringen te verkrijgen en kwaadaardige transacties vooraf te ondertekenen, kon de aanvaller de ontrekking met chirurgische precisie op het gekozen moment uitvoeren.
Dit was geen smart contract-bug of flash loan-aanval — het was een compromittering op governance-niveau die het vertrouwensmodel van multisig-administratie misbruikte. Drift werkt samen met beveiligingsbedrijven, exchanges en wetshandhaving om de gestolen fondsen te traceren en te bevriezen. DSOL is niet getroffen en de verzekeringsfondsactiva zijn beveiligd.
🛡️ Cisco patcht twee kritieke 9.8 CVSS-kwetsbaarheden in IMC en SSM
⚠️ KRITIEK — Patch IMC (CVE-2026-20093) en SSM (CVE-2026-20160) onmiddellijk
Beide kwetsbaarheden stellen niet-geauthenticeerde externe aanvallers in staat admin-/root-toegang te verkrijgen. Geen workarounds beschikbaar — patchen is de enige oplossing.
CVE-2026-20093 — IMC-authenticatiebypass (CVSS 9.8)
Een fout in de Cisco Integrated Management Controller stelt niet-geauthenticeerde externe aanvallers in staat authenticatie te omzeilen door gemanipuleerde HTTP-verzoeken te verzenden. Succesvolle exploitatie stelt aanvallers in staat wachtwoorden van elke gebruiker te wijzigen, inclusief Admins, en volledige systeemtoegang te verkrijgen.
| Affected Product | Fixed Version |
|---|---|
| 5000 Series ENCS | 4.15.5 |
| Catalyst 8300 Edge uCPE | 4.18.3 |
| UCS C-Series M5/M6 Rack Servers | 4.3(2.260007), 4.3(6.260017), 6.0(1.250174) |
| UCS E-Series M3 | 3.2.17 |
| UCS E-Series M6 | 4.15.3 |
CVE-2026-20160 — SSM On-Prem commando-injectie (CVSS 9.8)
Een onbedoelde blootstelling van een interne service in Cisco Smart Software Manager On-Prem stelt niet-geauthenticeerde aanvallers in staat willekeurige commando's uit te voeren met root-privileges via gemanipuleerde API-verzoeken. Opgelost in SSM On-Prem versie 9-202601.
Hoewel geen van beide kwetsbaarheden tot nu toe in het wild is misbruikt, zijn recent onthulde Cisco-kwetsbaarheden snel bewapend door dreigingsactoren. Zonder beschikbare workarounds is onmiddellijk patchen de enige verdediging.
📁 Progress ShareFile Pre-Auth RCE-keten — 30.000 instanties blootgesteld
🟠 HOOG — Werk ShareFile Storage Zones Controller bij naar 5.12.4
Twee gekoppelde kwetsbaarheden maken niet-geauthenticeerde remote code-uitvoering mogelijk op Progress ShareFile Storage Zones Controller. Ongeveer 30.000 instanties zijn blootgesteld op het internet.
Het offensieve beveiligingsbedrijf watchTowr heeft een verwoestende twee-bug-keten onthuld in Progress ShareFile Storage Zones Controller (SZC):
- CVE-2026-2699 — Authenticatiebypass via onjuiste HTTP-redirectafhandeling die toegang geeft tot de ShareFile-admininterface
- CVE-2026-2701 — Remote code-uitvoering via bestandsupload- en extractiefunctionaliteit, waarmee kwaadaardige ASPX-webshells geplaatst kunnen worden
Waarom dit belangrijk is
Bestandsoverdrachtoplossingen zijn topprioriteiten voor ransomwaregroepen. Met ~30.000 SZC-instanties blootgesteld op het internet volgt deze kwetsbaarheidsketen hetzelfde patroon van hoge waarde.
Patches zijn beschikbaar sinds 10 maart in ShareFile 5.12.4. Organisaties die ShareFile met on-premises opslagzones draaien, moeten dit als noodprioriteit behandelen.
🍎 Apple breidt iOS 18.7.7 uit tegen DarkSword-exploitkit
Apple heeft de beschikbaarheid van iOS 18.7.7 en iPadOS 18.7.7 uitgebreid naar een breder scala aan apparaten ter bescherming tegen de DarkSword-exploitkit — een iOS-aanvalstoolkit actief sinds juli 2025.
De uitgebreide update dekt nu alle iPhones van XR tot iPhone 16e en een breed scala aan iPads.
Gebruikers met Automatische Updates ingeschakeld ontvangen de patch automatisch. Wie nog niet heeft bijgewerkt, wordt dringend aangeraden dit onmiddellijk te doen.
📋 Kort nieuws
- Claude Code-lek misbruikt voor malware: Dreigingsactoren verspreiden Vidar infostealer en GhostSocks proxy-tool via valse GitHub-repositories.
- Stryker volledig operationeel na wiper-aanval: Medtech-gigant Stryker heeft de operaties hersteld drie weken na de wiper-aanval door de Iraans-gelinkte Handala-groep.
- Residentiële proxies omzeilen 78% van IP-controles: Onderzoek toont aan dat residentiële proxies IP-reputatiesystemen in 78% van 4 miljard geanalyseerde sessies omzeilen.
🛡️ Aanbevolen acties
- Next.js: Patch alle Next.js App Router-deployments tegen CVE-2025-55182 onmiddellijk. Roteer alle geheimen.
- DeFi-governance: Controleer multisig-configuraties en implementeer tijdvergrendelingen op admin-operaties.
- Cisco: Pas patches toe voor CVE-2026-20093 (IMC) en CVE-2026-20160 (SSM On-Prem) zonder uitstel.
- ShareFile: Werk ShareFile Storage Zones Controller bij naar versie 5.12.4.
- Apple: Zorg dat alle iOS/iPadOS-apparaten zijn bijgewerkt naar 18.7.7 of later.
KENSAI Security Briefing — 3 april 2026
Samengesteld uit Cisco Talos, BleepingComputer, The Hacker News, watchTowr Labs, Apple Security Updates en PeckShield.