剣 KENSAI
← All posts · security · 2026-04-03

Exploração massiva do Next.js React2Shell compromete 766 hosts, Drift Protocol perde US$280M em hack Solana Multisig, Cisco corrige duas falhas críticas CVSS 9.8, Cadeia RCE pré-autenticação ShareFile expõe 30.000 instâncias


🔴 Next.js React2Shell explorado em escala — 766 hosts violados pela campanha NEXUS Listener

⚠️ CRÍTICO — Corrija Next.js imediatamente (CVE-2025-55182, CVSS 10.0)

Uma operação automatizada de coleta de credenciais em larga escala está explorando ativamente a vulnerabilidade React2Shell em implantações Next.js App Router. Pelo menos 766 hosts em múltiplos provedores cloud foram comprometidos. Faça a rotação de todos os segredos nos hosts afetados.

Cisco Talos publicou um relatório detalhado sobre UAT-10608, um cluster de ameaças executando uma operação industrial de coleta de credenciais explorando CVE-2025-55182 — a falha crítica React Server Components / Next.js App Router conhecida como React2Shell, que permite execução remota de código.

O ataque é altamente automatizado: o ator de ameaças escaneia implantações Next.js acessíveis publicamente, testa-as contra a vulnerabilidade e implanta o framework de coleta NEXUS Listener — um toolkit de harvesting multifase agora em sua terceira versão principal.

O que é roubado

  • Variáveis de ambiente do SO e runtime JS
  • Chaves privadas SSH e arquivos authorized_keys
  • Histórico de comandos shell (.bash_history, .zsh_history)
  • Tokens de conta de serviço Kubernetes
  • Configurações de contêineres Docker (imagens, portas, redes, montagens, variáveis de ambiente)
  • Credenciais Cloud IAM via Instance Metadata Service para AWS, GCP e Azure
  • Chaves API — Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid, Brevo, GitHub, GitLab
  • Strings de conexão com banco de dados e tokens de bots Telegram

Painel C2 NEXUS Listener

Os dados exfiltrados alimentam uma GUI web protegida por senha chamada NEXUS Listener V3, oferecendo ao atacante acesso pesquisável a todos os hosts comprometidos, credenciais roubadas e análises. A Talos obteve dados de uma instância NEXUS Listener não autenticada, confirmando a amplitude do material roubado.

O padrão de targeting indiscriminado sugere que UAT-10608 usa scanners automatizados (Shodan, Censys ou personalizados) para identificar implantações Next.js vulneráveis em escala de Internet. Organizações com Next.js App Router devem corrigir imediatamente e rotacionar todos os segredos em qualquer host potencialmente exposto.


💰 Drift Protocol perde US$280 milhões em sofisticado hack Solana Multisig

⚠️ CRÍTICO — Todas as funções do Drift Protocol congeladas

Mais de US$280M drenados do Drift Protocol após um atacante assumir os poderes multisig do Security Council via transações durable nonce pré-assinadas. Depósitos, vaults e fundos de trading estão afetados. Não deposite fundos.

O Drift Protocol, uma plataforma de trading DeFi líder na blockchain Solana com 200.000 traders e US$55 bilhões em volume total, perdeu pelo menos US$280 milhões em um assalto meticulosamente planejado que não explorou nenhuma vulnerabilidade de smart contract.

DataAção
23–30 de marçoAtacante configura contas durable nonce, obtém 2/5 aprovações multisig dos membros do Security Council
1 de abril (execução)Transação legítima executada, imediatamente seguida por transações maliciosas pré-assinadas
Minutos depoisControle admin transferido para o atacante, ativo malicioso introduzido, limites de saque removidos
1 de abril (drenagem)Mais de US$280M drenados das reservas do protocolo

O que torna este ataque diferente

O atacante aproveitou as Durable Nonce Accounts — um recurso Solana que mantém transações pré-assinadas válidas indefinidamente — para preparar o assalto com dias de antecedência.

Isso não foi um bug de smart contract ou ataque flash loan — foi uma comprometimento em nível de governança que explorou o modelo de confiança da administração multisig. Drift está trabalhando com firmas de segurança, exchanges e autoridades para rastrear e congelar os fundos roubados. DSOL não foi afetado e os ativos do fundo de seguro estão protegidos.


🛡️ Cisco corrige duas vulnerabilidades críticas CVSS 9.8 em IMC e SSM

⚠️ CRÍTICO — Corrija IMC (CVE-2026-20093) e SSM (CVE-2026-20160) imediatamente

Ambas as vulnerabilidades permitem que atacantes remotos não autenticados obtenham acesso admin/root. Sem soluções alternativas — a correção é a única mitigação.

CVE-2026-20093 — Bypass de autenticação IMC (CVSS 9.8)

Uma falha no Cisco Integrated Management Controller permite que atacantes remotos não autenticados contornem a autenticação enviando requisições HTTP manipuladas. A exploração bem-sucedida permite que atacantes alterem senhas de qualquer usuário, incluindo Admins.

Affected ProductFixed Version
5000 Series ENCS4.15.5
Catalyst 8300 Edge uCPE4.18.3
UCS C-Series M5/M6 Rack Servers4.3(2.260007), 4.3(6.260017), 6.0(1.250174)
UCS E-Series M33.2.17
UCS E-Series M64.15.3

CVE-2026-20160 — Injeção de comandos SSM On-Prem (CVSS 9.8)

Uma exposição involuntária de um serviço interno no Cisco Smart Software Manager On-Prem permite que atacantes não autenticados executem comandos arbitrários com privilégios root. Corrigido na versão 9-202601.

Embora nenhuma das vulnerabilidades tenha sido explorada na natureza ainda, falhas Cisco recentemente divulgadas foram rapidamente armadas por atores de ameaças. Sem soluções alternativas disponíveis, a correção imediata é a única defesa.


📁 Cadeia RCE pré-auth Progress ShareFile — 30.000 instâncias expostas

🟠 ALTO — Atualize ShareFile Storage Zones Controller para 5.12.4

Duas vulnerabilidades encadeadas permitem execução remota de código sem autenticação no Progress ShareFile Storage Zones Controller. Aproximadamente 30.000 instâncias estão expostas na Internet.

A firma de segurança ofensiva watchTowr divulgou uma cadeia devastadora de dois bugs no Progress ShareFile Storage Zones Controller (SZC):

  • CVE-2026-2699 — Bypass de autenticação via tratamento incorreto de redirecionamentos HTTP que concede acesso à interface admin do ShareFile
  • CVE-2026-2701 — Execução remota de código via funcionalidade de upload e extração de arquivos, permitindo a colocação de webshells ASPX maliciosos

Por que isso importa

Soluções de transferência de arquivos são alvos prioritários para grupos de ransomware. Com ~30.000 instâncias SZC expostas na Internet, esta cadeia de vulnerabilidades segue o mesmo padrão de alto valor.

Patches estão disponíveis desde 10 de março no ShareFile 5.12.4. Organizações que executam ShareFile com zonas de armazenamento on-premises devem tratar isso como prioridade de emergência.


🍎 Apple expande iOS 18.7.7 contra o kit de exploração DarkSword

A Apple expandiu a disponibilidade do iOS 18.7.7 e iPadOS 18.7.7 para uma gama mais ampla de dispositivos para proteger contra o kit de exploração DarkSword.

A atualização expandida agora cobre todos os iPhones do XR ao iPhone 16e e uma ampla gama de iPads.

Usuários com Atualizações Automáticas ativadas receberão o patch automaticamente. Quem ainda não atualizou deve fazê-lo imediatamente.


📋 Notícias rápidas

  • Vazamento do Claude Code explorado para malware: Atores de ameaças distribuem Vidar infostealer e GhostSocks via repositórios GitHub falsos.
  • Stryker totalmente operacional após ataque wiper: A gigante medtech Stryker restaurou operações três semanas após o grupo hacktivista iraniano Handala apagar quase 80.000 dispositivos.
  • Proxies residenciais evadem 78% das verificações IP: Pesquisa mostra que proxies residenciais evadem sistemas de reputação IP em 78% de 4 bilhões de sessões analisadas.

🛡️ Ações recomendadas

  1. Next.js: Corrija todas as implantações Next.js App Router contra CVE-2025-55182 imediatamente.
  2. Governança DeFi: Revise as configurações multisig e implemente travas temporais em operações admin.
  3. Cisco: Aplique os patches para CVE-2026-20093 (IMC) e CVE-2026-20160 (SSM On-Prem) sem atraso.
  4. ShareFile: Atualize ShareFile Storage Zones Controller para a versão 5.12.4.
  5. Apple: Garanta que todos os dispositivos iOS/iPadOS estejam atualizados para 18.7.7 ou posterior.

Fique à frente da curva de ameaças

Inteligência de segurança diária sem ruído.

Explorar KENSAI →

KENSAI Security Briefing — 3 de abril de 2026
Compilado de Cisco Talos, BleepingComputer, The Hacker News, watchTowr Labs, Apple Security Updates e PeckShield.

All posts · Permalink