SchwachstellenHackerangriffeCloud-Sicherheit

Großangrifff auf Next.js-Anwendungen: Hacker stehlen Millionen von Zugangsdaten automatisiert

Großangrifff auf Next.js-Anwendungen: Hacker stehlen Millionen von Zugangsdaten automatisiert
Zusammenfassung

Eine großangelegte automatisierte Kampagne zur Diebstahl von Zugangsdaten bedroht derzeit zahlreiche Next.js-Anwendungen weltweit. Hacker exploitieren die Sicherheitslücke React2Shell (CVE-2025-55182), um mindestens 766 Server über verschiedene Cloud-Provider und geografische Regionen hinweg zu kompromittieren. Mit dem NEXUS Listener genannten Framework werden systematisch Datenbank-Anmeldedaten, AWS-Zugriffsschlüssel, SSH-Privatschlüssel, API-Keys und Umgebungsvariablen gestohlen. Die Bedrohungsgruppe UAT-10608 führt diese Operation durch und konnte innerhalb von nur 24 Stunden hunderte Systeme erfolgreich infiltrieren. Für deutsche Unternehmen und Behörden, die Next.js-basierte Anwendungen einsetzen, stellt dies ein erhebliches Risiko dar. Die gestohlenen Credentials ermöglichen Angreifern nicht nur direkten Cloud-Zugriff und Datenbankzugriff, sondern öffnen auch Türen für Supply-Chain-Attacken und Lateral Movement. Besonders kritisch sind die Auswirkungen auf datenschutzrechtliche Compliance und die Gefahr regulatorischer Konsequenzen bei Datenpannen. Betroffene Organisationen müssen sofort Sicherheitspatches einspielen, alle kompromittierten Credentials rotieren und ihre Systeme auf unbefugte Zugriffe prüfen.

Die Cyber-Bedrohung trägt eine neue Dimension: Die Gruppe UAT-10608, wie von Cisco Talos benannt, operiert mit industrieller Effizienz. Sie nutzt die React2Shell-Lücke (CVE-2025-55182) als Einfallstor in vulnerable Next.js-Anwendungen und setzt dabei ein automatisiertes Exploitations-Framework namens NEXUS Listener ein. Das System funktioniert in mehreren Phasen: Zunächst werden Next.js-Anwendungen systematisch nach Schwachstellen gescannt. Anschließend wird ein Credential-Harvesting-Skript in das Standard-Temp-Verzeichnis des Zielsystems platziert, das daraufhin beginnt, sensible Informationen zu sammeln.

Besonders bemerkenswert ist die Infrastruktur der Angreifer. Die Cisco-Forscher gewannen Zugang zu einer expose NEXUS Listener-Instanz und konnten die Funktionsweise dokumentieren: Die Plattform bietet den Kriminellen ein Dashboard mit umfassenden Statistiken, Suchfunktionen und Filtermöglichkeiten für die erbeuteten Daten. Ein Überblick zeigt die Anzahl kompromittierter Systeme, die Art und Menge der gestohlenen Anmeldedaten sowie die Verfügbarkeit des Exploitations-Systems selbst. Das automatisierte System war in der Lage, innerhalb von 24 Stunden 766 Hosts erfolgreich zu kompromittieren.

Die Beute ist von höchster Brisanz: Datenbank-Anmeldedaten, AWS-Zugangscodes, SSH-Privatschlüssel, API-Token und Cloud-Secrets fallen in die Hände der Kriminellen. Diese Informationen eröffnen unmittelbare Wege zur Cloud-Übernahme, zum Zugriff auf Zahlungssysteme und Produktivdatenspeicher — mit erheblichen finanziellen und reputativen Konsequenzen. SSH-Schlüssel ermöglichen zudem Lateral Movement, also das Vorankommen tiefer in Netzwerke hinein.

Für deutsche Behörden und Unternehmen kommen hinzu: Die gestohlenen Daten enthalten häufig auch personenbezogene Informationen, was zu DSGVO-Verstößen und empfindlichen Strafen führt.

Cisco Talos empfiehlt umgehende Sicherheitsmaßnahmen: Sofortige Installation von Patches für React2Shell, vollständige Revision der Datenschutzmechanismen, Rotation aller Anmeldedaten und AWS IMDSv2-Erzwingung. Zusätzlich sollten Web Application Firewalls (WAF) und Runtime Application Self-Protection (RASP) für Next.js-Umgebungen aktiviert werden. Das Prinzip der minimalen Berechtigung (Least-Privilege) in Containern und Cloud-Rollen ist entscheidend.

Ähnliche Artikel