SchwachstellenHackerangriffeDatenschutz

React2Shell: Großangelegte Angriffskampagne auf Next.js-Anwendungen mit über 750 kompromittierten Systemen

React2Shell: Großangelegte Angriffskampagne auf Next.js-Anwendungen mit über 750 kompromittierten Systemen
Zusammenfassung

Eine kritische Sicherheitslücke in React-Anwendungen wird derzeit in großem Stil ausgenutzt. Die Schwachstelle CVE-2025-55182, bekannt als React2Shell, weist einen CVSS-Score von 10 auf und ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen. Die Bedrohungsgruppe UAT-10608 nutzt automatisierte Scans, um öffentlich erreichbare Next.js-Anwendungen zu identifizieren und anschließend mit dem Nexus Listener Framework Anmeldedaten, Cloud-Token, SSH-Schlüssel und Umgebungsgeheimnisse zu stehlen. Nach Erkenntnissen von Ciscos Talos-Sicherheitsforschern wurden bereits mindestens 766 Systeme kompromittiert und über 10.000 Dateien exfiltriert. Die gestohlenen Daten umfassen API-Schlüssel für KI-Plattformen, Zahlungsprozessoren und Cloud-Dienste wie AWS sowie GitHub-Token und Datenbankzugangsgeheimnisse. Für deutsche Unternehmen und Behörden stellt dies eine erhebliche Bedrohung dar, insbesondere für solche, die Next.js-Anwendungen betreiben oder öffentlich exponieren. Eine unverzügliche Überprüfung der Systeme, das Einspielen von Sicherheitspatches und die Rotation aller möglicherweise kompromittierten Zugangsdaten sind dringend erforderlich.

Die Bedrohung trägt den Namen React2Shell und wird der Threat-Actor-Gruppe UAT-10608 zugeordnet. Im Kern nutzen die Angreifer die kritische Sicherheitslücke CVE-2025-55182 aus, die mit einem CVSS-Score von 10 als maximal kritisch eingestuft wird. Diese Schwachstelle ermöglicht es unauthentifizierten Angreifern, beliebigen Code auf betroffenen Next.js-Servern auszuführen — ohne dass eine vorherige Authentifizierung erforderlich ist.

Die Angriffsmethode folgt einem ausgefeilten Schema: Die Täter nutzen automatisierte Scanner, um öffentlich erreichbare Next.js-Anwendungen im Internet aufzuspüren. Dienste wie Shodan und Censys helfen ihnen dabei, potenzielle Ziele zu identifizieren. Sobald eine verwundbare Anwendung gefunden ist, liefern die Angreifer eine manipulierte Payload per HTTP-Request ab und erlangen dadurch Kontrolle über den Node.js-Prozess auf dem Server.

Nach dem initialen Eindringen setzen die Angreifer automatisierte Skripte und das sogenannte Nexus Listener-Framework ein. Dieses Werkzeug durchsucht das kompromittierte System systematisch nach wertvollen Daten: Benutzerpasswörter, Cloud-Tokens für AWS, Anmeldedaten für KI-Plattformen, Zahlungsdienstleister-Keys, GitHub-Token, SSH-Schlüssel, Kubernetes-Service-Account-Tokens und Docker-Umgebungsvariablen. Insgesamt wurden über 10.000 Dateien von den Angreifern gesammelt.

Besonders problematisch: Die gestohlenen Daten landen auf Command-and-Control-Servern der Angreifer, die teilweise ungesichert im Internet erreichbar waren. Sicherheitsforschern gelang es, eine dieser Nexus-Listener-Instanzen zu untersuchen und dokumentierten die erfolgreiche Kompromittierung von mindestens 766 Hosts innerhalb von nur 24 Stunden.

Die abgegriffenen Informationen könnten erhebliche Folgeschäden anrichten: Angreifer könnten damit in weitere Systeme eindringen, Supply-Chain-Attacken durchführen oder sich lateral in Unternehmensnetze bewegen. Alle betroffenen Anmeldedaten, API-Schlüssel und Tokens müssen sofort gewechselt werden. Für deutsche Unternehmen empfehlen Sicherheitsexperten eine sofortige Überprüfung ihrer Next.js-Deployments und das Einspielen aller verfügbaren Sicherheitspatches.

Ähnliche Artikel