React2Shell-Ausnutzung knackt 766 Systeme

Ein HTTP-Request. Mehr brauchte es nicht, damit Hacker in 766 Next.js-Server eindrangen und Anmeldeinformationen wie SSH-Schlüssel und AWS-Token absaugten. Cisco Talos lüftet nun den Schleier über diesen automatisierten Albtraum.

theAIcatchup 5 min read
Diagramm der React2Shell-Ausnutzungskette vom HTTP-Request bis zur Exfiltration von Anmeldeinformationen via Nexus Listener

Key Takeaways

  • React2Shell (CVE-2025-55182) ermöglicht unauthentifizierten RCE in Next.js, ausgenutzt von UAT-10608 für Massendiebstahl von Anmeldeinformationen.
  • Automatisiertes Scannen via Shodan/Censys traf 766 Systeme in 24 Stunden, filterte SSH-Schlüssel, Cloud-Token und mehr über Nexus Listener aus.
  • Architektonischer Wandel im SSR legt Backend-Geheimnisse offen; alles rotieren und Frontend-Backend-Grenzen neu überdenken.

Ein fehlerhafter HTTP-Request trifft eine öffentliche Next.js-App. Peng – beliebiger Code wird im serverseitigen Node.js-Prozess ausgeführt. Anmeldeinformationen strömen heraus: SSH-Private-Keys, AWS-Token, GitHub-Secrets. Alles automatisiert, alles im großen Stil.

Rauszoomen. Das ist kein gezielter Schlag gegen einen Fortune-500-Konzern. Es ist UAT-10608, ein Bedrohungsakteur, den Cisco Talos seit Längerem beobachtet, der durch anfällige React-Setups via React2Shell rast – das ist CVE-2025-55182, eine perfekte CVSS-10-Lücke. Sie haben mindestens 766 Systeme in 24 Stunden kompromittiert, über 10.000 Dateien eingesaugt. Und haltet euch fest: Talos hat in das eigene schlampige Nexus-Listener-Dashboard der Angreifer geschaut, das offen stand wie eine vergessene Garagentür.

Die Ausnutzung, die es nicht geben sollte – aber existiert

React2Shell gedieht, weil Entwickler Server-Side Rendering (SSR) in Next.js lieben. Es ist schnell, SEO-freundlich, zieht Nutzer an. Aber hier liegt der Hase im Pfeffer: Diese React-Konfigurationslücke erlaubt unauthentifizierten Angreifern, Code direkt in die Node.js-Runtime zu injizieren. Keine Authentifizierung. Kein Aufwand. Nur eine präparierte Payload über HTTP.

Talos bringt es auf den Punkt:

„Die Breite der Opfergruppe und das wahllose Zielmuster passen zu automatisiertem Scannen – wahrscheinlich basierend auf Host-Profil-Daten von Diensten wie Shodan, Censys oder eigenen Scannern, um öffentlich erreichbare Next.js-Deployments aufzuzählen und sie auf die beschriebenen React-Konfigurationslücken zu prüfen.“

Sie saugen das Internet ab wie Staubsauger – Shodan, Censys füttern das Biest. Öffentliche Next.js-Apps? Perfekte Ziele. Ein Probe-Scan, ein Vuln-Check, und es ist vorbei.

Aber warum jetzt? Reacts Dominanz im Frontend-Bereich bedeutet Millionen von Deployments. SSR verschiebt die Architektur: Clientside-Sicherheitsnetze verschwinden, wenn Code serverseitig läuft. Angreifer müssen nicht phishen oder speeren – sie automatisieren einfach.

Eine Drei-Wort-Lösung? Patchen.

Die Realität ist chaotischer. Automatisierte Skripte drehen nach dem Breach durch alle Prozesse: JavaScript-Runtimes, SSH-Historien, Cloud-Metadata-APIs, Kubernetes-Token, Docker-Variablen. Alles. Exfil zur C&C, dann Nexus Listener – eine Web-App zum Stöbern im Diebesgut. Talos fand eine freigelegte, die AI-Schlüssel, Zahlungsdaten, Kommunikationstoken katalogisierte. Alles rotieren, sagen sie. Gestern.

Wie React2Shell Ihre Geheimnisse aufknackt

Stellen Sie sich die Kette vor. Schritt eins: Nach Next.js-Bannern scannen (einfach, Header schreien es hinaus). Schritt zwei: React-Konfigurationslücke prüfen. Anfällig? Payload schicken. Node.js führt sie serverseitig aus – RCE erreicht.

Dann die Ernte. Skripte iterieren gnadenlos.

  • Laufende Prozesse dumpen.
  • JS-Runtime-Umgebungsvariablen schnappen.
  • SSH-Schlüssel, -Historien greifen.
  • Cloud-APIs abfragen (AWS-Metadata? Hallo, Instance-Role-Token).
  • Kubernetes-Service-Accounts.
  • Container-Konfigs.
  • Sogar Shell-Befehlszeilen.

Alles zippen, zur C&C schicken. Nexus Listener lässt Angreifer stöbern wie in einem Dropbox für gestohlenes Gut. Talos-Blick rein? 766 Hosts an einem Tag. Wahllos. Bots überall.

Das ist nicht neu – erinnert an Log4Shells Sprüh-und-bete-Methode, aber frontend-gewürzt. Damals hat Javas Allgegenwärtigkeit alle erwischt. Heute? Reacts SSR-Hype macht dasselbe. Entwickler jagen Performance; Angreifer jagen Schlüssel.

Meine Einschätzung: Das deckt einen tieferen Wandel auf. Frontend-Frameworks sickern in Backends ein, ohne Backend-Härtung. Next.js versprach Einfachheit – stattdessen Credential-Piñatas.

Warum Entwickler anfällige Next.js-Apps weiter ausliefern

Speed to Market. Deshalb. Next.js erlaubt Fullstack-Apps im Nu zusammenzuschustern – SSR, API-Routen, alles in einem. Aber Patching? Hinkt nach. CVE-2025-55182 kam raus, doch 766 Systeme fielen in Stunden.

Firmenspin nennt es ‘Edge-Rendering-Magie’. Nennen Sie es, was es ist: Ein Vektor für serverseitiges Verderben. Reacts Clientside-Reinheit? Weg, wenn Sie auf Node hydratisieren. Eine Fehlkonfig, und Ihre Env-Secrets sind Staatsfeind Nr. 1.

Mutige Prognose: Erwarten Sie React2Shell-Varianten. Angreifer ketten es an Cryptominer, Ransomware. Wir haben Magento-Defacements, VPN-Zugriffsdatendiebstähle gesehen – das skaliert größer. Außer Framework-Hersteller bauen Runtime-Isolation ein (denken Sie an WebAssembly-Grenzen), kommen Wellen.

Historischer Vergleich? Heartbleed, 2014. OpenSSLs Buffer-Overread leakte Schlüssel massenhaft. React2Shell? Konfigurations-Übervertrauen leakte dasselbe. Entwickler ignorierten Heartbleed-Warnungen; Geschichte reimt sich.

Ist React2Shell das neue Log4Shell für Web-Entwickler?

So eine Art. Log4Shell brauchte Java-Logs überall. React2Shell braucht… eine öffentliche Next.js-App. Häufiger als gedacht – Vercel-Deploys allein zählen Millionen.

Unterschied? Automatisierungs-Tiefe. UAT-10608 hört nicht bei RCE auf. Es sind Credential-Harvester auf Steroiden, gebaut für Cloud-Native-Chaos: K8s, Docker, IAM-Rollen. Ein Breach kaskadiert – laterale Bewegungen, Supply-Chain-Treffer.

Talos warnt vor Compliance-Albträumen. Gestohlene GitHub-Token? Repo-Übernahmen. AWS-Schlüssel? Rechnungsschocks, Daten-Dumps. Und diese AI-Plattform-Creds? Prompt-Injections im großen Stil.

Patchen. Prüfen. Rotieren.

Aber Architektur zählt mehr. Geheimnisse segmentieren – Vaults, keine Env-Vars. Least Privilege bei IAM. Deployments selbst mit Shodan-ähnlichen Tools scannen.

Was tun, wenn React2Shell Sie trifft?

Breach annehmen. Logs auf verdächtige HTTP-Payloads prüfen. Nexus-ähnliche C&Cs jagen (Talos teilte IOCs – nutzen Sie sie). Alles rotieren: SSH, Cloud, DB, Auth-Token.

Breitere Lösung? Naives SSR durch Hybrides ersetzen. Sensible Pfade clientside rendern. Runtime-Scanner in CI/CD.

Prognose: Framework-Riesen (Vercel, React-Team) erlassen Auto-Patching-Pflichten. Oder Klagen erzwingen es.

🧬 Verwandte Einblicke

Häufig gestellte Fragen

Was ist React2Shell?

React2Shell (CVE-2025-55182) ist eine kritische React-Lücke in Next.js-Apps, die unauthentifizierten RCE über präparierte HTTP-Requests erlaubt und zu Diebstahl von Anmeldeinformationen führt.

Wie behebt man die React2Shell-Lücke?

Next.js und React sofort auf gepatchte Versionen aktualisieren. Öffentliche Apps mit Shodan/Censys prüfen. Alle freigelegten Anmeldeinformationen wie SSH-Schlüssel und Cloud-Token rotieren.

Was wurde in React2Shell-Angriffen gestohlen?

SSH-Private-Keys, AWS/GCP-Token, GitHub-Secrets, Kubernetes-Service-Accounts, DB-Anmeldedaten, AI-/Zahlungsplattform-Schlüssel, Shell-Historien – über 10.000 Dateien von 766 Systemen.

James Kowalski
Written by
James Kowalski

Investigative tech reporter focused on AI ethics, regulation, and societal impact.

#cve-2025-55182 #nextjs-vulnerability #react2shell #credential-harvesting

Worth sharing?

Get the best AI stories of the week in your inbox — no noise, no spam.

Originally reported by SecurityWeek

Related Stories