Exploração massiva do Next.js React2Shell compromete 766 hosts, Drift Protocol perde US$280M em hack Solana Multisig, Cisco corrige duas falhas críticas CVSS 9.8, Cadeia RCE pré-autenticação ShareFile expõe 30.000 instâncias
🔴 Next.js React2Shell explorado em escala — 766 hosts violados pela campanha NEXUS Listener
⚠️ CRÍTICO — Corrija Next.js imediatamente (CVE-2025-55182, CVSS 10.0)
Uma operação automatizada de coleta de credenciais em larga escala está explorando ativamente a vulnerabilidade React2Shell em implantações Next.js App Router. Pelo menos 766 hosts em múltiplos provedores cloud foram comprometidos. Faça a rotação de todos os segredos nos hosts afetados.
Cisco Talos publicou um relatório detalhado sobre UAT-10608, um cluster de ameaças executando uma operação industrial de coleta de credenciais explorando CVE-2025-55182 — a falha crítica React Server Components / Next.js App Router conhecida como React2Shell, que permite execução remota de código.
O ataque é altamente automatizado: o ator de ameaças escaneia implantações Next.js acessíveis publicamente, testa-as contra a vulnerabilidade e implanta o framework de coleta NEXUS Listener — um toolkit de harvesting multifase agora em sua terceira versão principal.
O que é roubado
- Variáveis de ambiente do SO e runtime JS
- Chaves privadas SSH e arquivos authorized_keys
- Histórico de comandos shell (.bash_history, .zsh_history)
- Tokens de conta de serviço Kubernetes
- Configurações de contêineres Docker (imagens, portas, redes, montagens, variáveis de ambiente)
- Credenciais Cloud IAM via Instance Metadata Service para AWS, GCP e Azure
- Chaves API — Stripe, OpenAI, Anthropic, NVIDIA NIM, SendGrid, Brevo, GitHub, GitLab
- Strings de conexão com banco de dados e tokens de bots Telegram
Painel C2 NEXUS Listener
Os dados exfiltrados alimentam uma GUI web protegida por senha chamada NEXUS Listener V3, oferecendo ao atacante acesso pesquisável a todos os hosts comprometidos, credenciais roubadas e análises. A Talos obteve dados de uma instância NEXUS Listener não autenticada, confirmando a amplitude do material roubado.
O padrão de targeting indiscriminado sugere que UAT-10608 usa scanners automatizados (Shodan, Censys ou personalizados) para identificar implantações Next.js vulneráveis em escala de Internet. Organizações com Next.js App Router devem corrigir imediatamente e rotacionar todos os segredos em qualquer host potencialmente exposto.
💰 Drift Protocol perde US$280 milhões em sofisticado hack Solana Multisig
⚠️ CRÍTICO — Todas as funções do Drift Protocol congeladas
Mais de US$280M drenados do Drift Protocol após um atacante assumir os poderes multisig do Security Council via transações durable nonce pré-assinadas. Depósitos, vaults e fundos de trading estão afetados. Não deposite fundos.
O Drift Protocol, uma plataforma de trading DeFi líder na blockchain Solana com 200.000 traders e US$55 bilhões em volume total, perdeu pelo menos US$280 milhões em um assalto meticulosamente planejado que não explorou nenhuma vulnerabilidade de smart contract.
| Data | Ação |
|---|---|
| 23–30 de março | Atacante configura contas durable nonce, obtém 2/5 aprovações multisig dos membros do Security Council |
| 1 de abril (execução) | Transação legítima executada, imediatamente seguida por transações maliciosas pré-assinadas |
| Minutos depois | Controle admin transferido para o atacante, ativo malicioso introduzido, limites de saque removidos |
| 1 de abril (drenagem) | Mais de US$280M drenados das reservas do protocolo |
O que torna este ataque diferente
O atacante aproveitou as Durable Nonce Accounts — um recurso Solana que mantém transações pré-assinadas válidas indefinidamente — para preparar o assalto com dias de antecedência.
Isso não foi um bug de smart contract ou ataque flash loan — foi uma comprometimento em nível de governança que explorou o modelo de confiança da administração multisig. Drift está trabalhando com firmas de segurança, exchanges e autoridades para rastrear e congelar os fundos roubados. DSOL não foi afetado e os ativos do fundo de seguro estão protegidos.
🛡️ Cisco corrige duas vulnerabilidades críticas CVSS 9.8 em IMC e SSM
⚠️ CRÍTICO — Corrija IMC (CVE-2026-20093) e SSM (CVE-2026-20160) imediatamente
Ambas as vulnerabilidades permitem que atacantes remotos não autenticados obtenham acesso admin/root. Sem soluções alternativas — a correção é a única mitigação.
CVE-2026-20093 — Bypass de autenticação IMC (CVSS 9.8)
Uma falha no Cisco Integrated Management Controller permite que atacantes remotos não autenticados contornem a autenticação enviando requisições HTTP manipuladas. A exploração bem-sucedida permite que atacantes alterem senhas de qualquer usuário, incluindo Admins.
| Affected Product | Fixed Version |
|---|---|
| 5000 Series ENCS | 4.15.5 |
| Catalyst 8300 Edge uCPE | 4.18.3 |
| UCS C-Series M5/M6 Rack Servers | 4.3(2.260007), 4.3(6.260017), 6.0(1.250174) |
| UCS E-Series M3 | 3.2.17 |
| UCS E-Series M6 | 4.15.3 |
CVE-2026-20160 — Injeção de comandos SSM On-Prem (CVSS 9.8)
Uma exposição involuntária de um serviço interno no Cisco Smart Software Manager On-Prem permite que atacantes não autenticados executem comandos arbitrários com privilégios root. Corrigido na versão 9-202601.
Embora nenhuma das vulnerabilidades tenha sido explorada na natureza ainda, falhas Cisco recentemente divulgadas foram rapidamente armadas por atores de ameaças. Sem soluções alternativas disponíveis, a correção imediata é a única defesa.
📁 Cadeia RCE pré-auth Progress ShareFile — 30.000 instâncias expostas
🟠 ALTO — Atualize ShareFile Storage Zones Controller para 5.12.4
Duas vulnerabilidades encadeadas permitem execução remota de código sem autenticação no Progress ShareFile Storage Zones Controller. Aproximadamente 30.000 instâncias estão expostas na Internet.
A firma de segurança ofensiva watchTowr divulgou uma cadeia devastadora de dois bugs no Progress ShareFile Storage Zones Controller (SZC):
- CVE-2026-2699 — Bypass de autenticação via tratamento incorreto de redirecionamentos HTTP que concede acesso à interface admin do ShareFile
- CVE-2026-2701 — Execução remota de código via funcionalidade de upload e extração de arquivos, permitindo a colocação de webshells ASPX maliciosos
Por que isso importa
Soluções de transferência de arquivos são alvos prioritários para grupos de ransomware. Com ~30.000 instâncias SZC expostas na Internet, esta cadeia de vulnerabilidades segue o mesmo padrão de alto valor.
Patches estão disponíveis desde 10 de março no ShareFile 5.12.4. Organizações que executam ShareFile com zonas de armazenamento on-premises devem tratar isso como prioridade de emergência.
🍎 Apple expande iOS 18.7.7 contra o kit de exploração DarkSword
A Apple expandiu a disponibilidade do iOS 18.7.7 e iPadOS 18.7.7 para uma gama mais ampla de dispositivos para proteger contra o kit de exploração DarkSword.
A atualização expandida agora cobre todos os iPhones do XR ao iPhone 16e e uma ampla gama de iPads.
Usuários com Atualizações Automáticas ativadas receberão o patch automaticamente. Quem ainda não atualizou deve fazê-lo imediatamente.
📋 Notícias rápidas
- Vazamento do Claude Code explorado para malware: Atores de ameaças distribuem Vidar infostealer e GhostSocks via repositórios GitHub falsos.
- Stryker totalmente operacional após ataque wiper: A gigante medtech Stryker restaurou operações três semanas após o grupo hacktivista iraniano Handala apagar quase 80.000 dispositivos.
- Proxies residenciais evadem 78% das verificações IP: Pesquisa mostra que proxies residenciais evadem sistemas de reputação IP em 78% de 4 bilhões de sessões analisadas.
🛡️ Ações recomendadas
- Next.js: Corrija todas as implantações Next.js App Router contra CVE-2025-55182 imediatamente.
- Governança DeFi: Revise as configurações multisig e implemente travas temporais em operações admin.
- Cisco: Aplique os patches para CVE-2026-20093 (IMC) e CVE-2026-20160 (SSM On-Prem) sem atraso.
- ShareFile: Atualize ShareFile Storage Zones Controller para a versão 5.12.4.
- Apple: Garanta que todos os dispositivos iOS/iPadOS estejam atualizados para 18.7.7 ou posterior.
KENSAI Security Briefing — 3 de abril de 2026
Compilado de Cisco Talos, BleepingComputer, The Hacker News, watchTowr Labs, Apple Security Updates e PeckShield.