Next.js React2Shell漏洞被大规模利用致766台主机遭入侵,Drift Protocol在Solana多签黑客攻击中损失2.8亿美元,Cisco修补两个9.8 CVSS严重漏洞,ShareFile预认证RCE链暴露30,000个实例
🔴 Next.js React2Shell大规模利用——NEXUS Listener攻击活动入侵766台主机
⚠️ 严重——立即修补Next.js(CVE-2025-55182,CVSS 10.0)
一个大规模自动化凭据收集行动正在积极利用Next.js App Router部署中的React2Shell漏洞。多个云提供商中至少766台主机已被入侵。请在所有受影响主机上轮换所有密钥。
Cisco Talos发布了关于UAT-10608的详细报告——一个通过利用CVE-2025-55182(即React2Shell,一个使远程代码执行成为可能的关键React Server Components / Next.js App Router漏洞)进行工业规模凭据收集的威胁集群。
攻击高度自动化:威胁行为者扫描公开可达的Next.js部署,探测其漏洞,并部署NEXUS Listener收集框架——一个现已发展到第三个主要版本的多阶段收集工具包。
被窃取的内容
- 环境变量——来自操作系统和JS运行时
- SSH私钥和authorized_keys文件
- Shell命令历史(.bash_history,.zsh_history)
- Kubernetes服务账户令牌
- Docker容器配置(镜像、端口、网络、挂载、环境变量)
- 云IAM凭据——通过AWS、GCP和Azure的实例元数据服务
- API密钥——Stripe、OpenAI、Anthropic、NVIDIA NIM、SendGrid、Brevo、GitHub、GitLab
- 数据库连接字符串和Telegram机器人令牌
NEXUS Listener C2控制面板
外泄数据流入名为NEXUS Listener V3的密码保护Web GUI,为攻击者提供对所有被入侵主机、被盗凭据和分析数据的可搜索访问。Talos从一个未经身份验证的NEXUS Listener实例获取了数据,确认了被盗材料的广度。
无差别的目标模式表明UAT-10608使用自动扫描器(Shodan、Censys或自定义工具)在互联网范围内识别易受攻击的Next.js部署。运行带App Router的Next.js的组织应立即修补并轮换所有密钥——AWS密钥、数据库凭据、SSH密钥和API令牌——在任何可能已暴露的主机上。
💰 Drift Protocol在复杂的Solana多签黑客攻击中损失2.8亿美元
⚠️ 严重——所有Drift Protocol功能已冻结
攻击者使用预签名的durable nonce交易劫持Security Council多签权限后,从Drift Protocol提取了超过2.8亿美元。借贷存款、金库存款和交易资金均受影响。请勿存入资金。
Drift Protocol是Solana区块链上领先的DeFi交易平台,拥有20万交易者和550亿美元总交易量,在一次精心策划的劫案中损失了至少2.8亿美元——此次攻击未利用任何智能合约漏洞。
| 日期 | 行动 |
|---|---|
| 3月23-30日 | 攻击者设置durable nonce账户,获取Security Council成员的2/5多签批准 |
| 4月1日(执行) | 执行合法交易,随即执行预签名的恶意交易 |
| 数分钟后 | 管理控制权转移至攻击者,引入恶意资产,移除提款限制 |
| 4月1日(提取) | 从协议储备中提取超过2.8亿美元 |
此次攻击的不同之处
攻击者利用了durable nonce账户——一种允许预签名交易无限期有效的Solana功能——提前数天准备劫案。通过获取最低2/5的Security Council批准并预签名恶意交易,攻击者能够在选定时刻以手术般的精度执行提取。
这不是智能合约漏洞或闪电贷攻击——这是一次治理层面的入侵,利用了多签管理的信任模型。Drift正与安全公司、交易所和执法机构合作追踪和冻结被盗资金。DSOL未受影响,保险基金资产安全。
🛡️ Cisco修补IMC和SSM中两个9.8 CVSS严重漏洞
⚠️ 严重——立即修补IMC(CVE-2026-20093)和SSM(CVE-2026-20160)
两个漏洞都允许未经身份验证的远程攻击者获取管理员/root访问权限。无可用变通方案——修补是唯一的缓解措施。
CVE-2026-20093——IMC认证绕过(CVSS 9.8)
Cisco Integrated Management Controller中的漏洞允许未经身份验证的远程攻击者通过发送精心构造的HTTP请求绕过认证。成功利用使攻击者能够更改包括管理员在内的任何用户的密码并获得完全系统访问权限。
| Affected Product | Fixed Version |
|---|---|
| 5000 Series ENCS | 4.15.5 |
| Catalyst 8300 Edge uCPE | 4.18.3 |
| UCS C-Series M5/M6 Rack Servers | 4.3(2.260007), 4.3(6.260017), 6.0(1.250174) |
| UCS E-Series M3 | 3.2.17 |
| UCS E-Series M6 | 4.15.3 |
CVE-2026-20160——SSM On-Prem命令注入(CVSS 9.8)
Cisco Smart Software Manager On-Prem中内部服务的意外暴露允许未经身份验证的攻击者通过精心构造的API请求以root级权限执行任意命令。已在SSM On-Prem版本9-202601中修复。
虽然两个漏洞尚未在野外被利用,但最近披露的Cisco漏洞已被威胁行为者迅速武器化。在没有可用变通方案的情况下,立即修补是唯一的防御。
📁 Progress ShareFile预认证RCE链——30,000个实例暴露
🟠 高危——将ShareFile Storage Zones Controller修补至5.12.4
两个链式漏洞使Progress ShareFile Storage Zones Controller上的未经身份验证的远程代码执行成为可能。约30,000个实例暴露在互联网上。
攻击性安全公司watchTowr披露了Progress ShareFile Storage Zones Controller(SZC)中一个破坏性的双漏洞链——该组件是为企业提供文件存储控制的本地部署组件:
- CVE-2026-2699——通过不当HTTP重定向处理的认证绕过,授予对ShareFile管理界面的访问权限
- CVE-2026-2701——通过文件上传和提取功能的远程代码执行,使恶意ASPX Webshell的放置成为可能
为什么这很重要
文件传输解决方案是勒索软件组织的主要目标——Clop团伙此前已攻击Accellion FTA、SolarWinds Serv-U、GoAnywhere MFT、MOVEit Transfer、Gladinet CentreStack和Cleo。在互联网上暴露的约30,000个SZC实例(ShadowServer确认700个),这条漏洞链遵循着同样的高价值目标模式。
补丁自3月10日起在ShareFile 5.12.4中提供。运行带有本地存储区域的ShareFile的组织应将此视为紧急优先事项。
🍎 Apple扩展iOS 18.7.7以阻止DarkSword利用套件
Apple已将iOS 18.7.7和iPadOS 18.7.7的可用性扩展到更广泛的设备,以防范DarkSword利用套件——自2025年7月以来一直活跃的iOS攻击工具包,针对沙特阿拉伯、土耳其、马来西亚和乌克兰的用户。
扩展的更新现在覆盖从XR到iPhone 16e的所有iPhone以及各种iPad。这对Apple来说是不寻常的举措——该公司没有要求用户升级到iOS 26,而是将关键安全修复向后移植,让用户在iOS 18上保持安全。
启用自动更新的用户将自动收到补丁。尚未更新的用户应立即更新。
📋 快讯
- Claude Code泄露被利用传播恶意软件:威胁行为者通过声称包含泄露的Claude Code源代码的虚假GitHub仓库分发Vidar信息窃取器和GhostSocks代理工具。
- Stryker在擦除攻击后全面恢复运营:Stryker在伊朗关联的Handala黑客活动组织擦除近80,000台设备三周后恢复了运营。
- 住宅代理规避78%的IP检查:研究表明,用于恶意流量路由的住宅代理在40亿分析会话中的78%成功规避IP信誉系统。
- 2026年可信开源报告:Chainguard的报告强调AI加速开发如何重塑安全格局。
🛡️ 建议措施
- Next.js:立即修补所有Next.js App Router部署以防范CVE-2025-55182。在任何可能暴露的主机上轮换所有密钥(AWS、SSH、数据库、API密钥)。
- DeFi治理:审查多签配置——确保阈值要求足够,并对管理操作实施时间锁。
- Cisco:立即应用CVE-2026-20093(IMC)和CVE-2026-20160(SSM On-Prem)的补丁。
- ShareFile:将ShareFile Storage Zones Controller升级至5.12.4版本。
- Apple:确保所有iOS/iPadOS设备更新至18.7.7或更高版本。
- Claude Code骗局:警告开发团队注意GitHub上分发Vidar恶意软件的虚假Claude Code仓库。
KENSAI安全简报——2026年4月3日
编译自Cisco Talos、BleepingComputer、The Hacker News、watchTowr Labs、Apple Security Updates和PeckShield情报源。