React2Shell und ConsentFix: Doppelangriff auf globale IT-Sicherheit

Die globale Cybersicherheit steht unter Alarm: Gleich zwei neuartige Angriffsmethoden bedrohen derzeit Unternehmen und Verbraucher weltweit. Im Fokus stehen die kritische Schwachstelle “React2Shell” und die raffinierte Phishing-Technik “ConsentFix”, die sogar mehrstufige Authentifizierung aushebelt.

Seit Donnerstag jagen Sicherheitsteams auf der ganzen Welt einem kritischen Fehler in React Server Components hinterher. Die als “React2Shell” (CVE-2025-55182) bekannte Schwachstelle erlaubt Angreifern die vollständige Übernahme ungepatchter Server – ohne jegliche Authentifizierung. Obwohl der Fehler bereits Anfang Dezember bekannt wurde, hat die aktive Ausnutzung in den letzten 72 Stunden dramatisch zugenommen.

Laut dem US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) waren Mitte dieser Woche noch über 165.000 IP-Adressen verwundbar. Betroffen sind vor allem weit verbreitete Next.js-Installationen, die zahllose internetfähige Anwendungen unmittelbar gefährden. “Angreifer warten nicht mehr, bis Sicherheitslücken geschlossen werden – sie nutzen sie sofort aus”, kommentiert eine Analyse von Security Boulevard die aktuelle Entwicklung.

Passend zum Thema Cybersicherheit: Aktuelle Kampagnen wie React2Shell und ConsentFix zeigen, wie schnell Angreifer kritische Lücken ausnutzen und Unternehmensinfrastrukturen gefährden. Ein kostenloses E‑Book für Geschäftsführer und IT‑Verantwortliche erklärt konkrete Sofortmaßnahmen — von zielgerichtetem Patch‑Management über OAuth‑Prüfungen bis zu praxiserprobten Incident‑Response‑Checklisten. Mit Prioritäten für kleine Budgets, gesetzlichen Hinweisen und umsetzbaren Vorlagen, damit Sie sofort handeln können. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Parallel bestätigte die CISA die aktive Ausnutzung einer weiteren Zero-Day-Schwachstelle (CVE-2025-14174) in Apples WebKit und Googles Chrome ANGLE. Apple selbst räumte ein, dass diese Lücke bei “extrem ausgeklügelten Angriffen” auf bestimmte Personen genutzt wurde. Notfall-Updates für iOS liegen vor.

ConsentFix: Der Phishing-Trick, der selbst MFA umgeht

Während Software-Schwachstellen die Schlagzeilen dominieren, stellt eine neue Angriffsmethode auf menschliche Schwächen eine ebenso ernste Bedrohung dar. Sicherheitsforscher von Push Security haben die Technik “ConsentFix” dokumentiert, die aktuell Microsoft-365-Nutzer ins Visier nimmt.

Der Trick ist tückisch einfach: Statt Passwörter zu stehlen, manipuliert ConsentFix die legitime OAuth-Authentifizierung. Nutzer werden auf gefälschte Seiten gelockt, die sie auffordern, einen “Code zur Problembehebung” zu kopieren. In Wirklichkeit handelt es sich um einen OAuth-Autorisierungscode, den die Opfer direkt in die Schnittstelle der Angreifer einfügen.

“Diese Methode umgeht sogar phishing-resistente Authentifizierungsverfahren wie Passkeys”, erklären die Push-Security-Forscher. Die Angreifer erhalten so vollen Zugriff auf das Konto des Opfers – ohne Passwort oder abgefangenen SMS-Code.

Unternehmen im Visier: Cisco, Microsoft und IBM betroffen

Für die Unternehmens-IT kommt die Krise zum denkbar ungünstigsten Zeitpunkt. Die Group-IB Red Team entdeckte zwei gefährliche Zero-Day-Lücken in weit verbreiteter Unternehmenssoftware: Cisco Unified Contact Center Express (CVE-2025-20374) und IBM Sterling (CVE-2025-36135). Obwohl Patches vorliegen, zeigt der Fund das anhaltende Risiko durch Schwachstellen in tief verwurzelter Unternehmensinfrastruktur, die oft nur langsam aktualisiert wird.

Hinzu kommen 57 Schwachstellen, die Microsoft mit seinen Dezember-Updates schloss. Eine davon (CVE-2025-62221) wird bereits aktiv ausgenutzt und erlaubt Angreifern mit niedrigen Berechtigungen, SYSTEM-Rechte zu erlangen.

Was bedeutet das für deutsche Unternehmen?

Die Ereignisse dieser Woche unterstreichen einen beunruhigenden Trend für 2025: die Industrialisierung der Zero-Day-Ausnutzung. Das Weltwirtschaftsforum verzeichnete zwar verbesserte Abwehrfähigkeiten durch KI, gleichzeitig aber auch einen “1.200-prozentigen Anstieg von Phishing-Angriffen”.

Für deutsche und europäische Unternehmen ergeben sich drei dringende Handlungsprioritäten:

1. Patch-Management: Updates für React-basierte Anwendungen und mobile Apple-/Android-Geräte haben sofortige Priorität.
2. Identitätsschutz: OAuth-Anwendungsberechtigungen in Microsoft Entra ID (ehemals Azure AD) sollten auf mögliche ConsentFix-Kompromittierungen überprüft werden.
3. Lieferketten-Prüfung: Mit der Aufnahme der ASUS-Live-Update-Schwachstelle (CVE-2025-59374) in die CISA-Liste müssen Organisationen veraltete Softwarekomponenten überprüfen, die als Hintertüren dienen könnten.

Kurz vor den Feiertagen – einer historisch beliebten Zeit für Ransomware-Gruppen – raten Experten zu erhöhter Wachsamkeit. Die Geschwindigkeit, mit der sich die React2Shell- und ConsentFix-Kampagnen ausbreiten, deutet darauf hin, dass Angreifer die reduzierten Personalbesetzungen vor dem Jahreswechsel aggressiv ausnutzen wollen.

PS: Sie möchten Ihr Unternehmen konkret gegen Phishing‑Methoden wie ConsentFix und automatisierte Zero‑Day‑Ausnutzung wappnen? Das Gratis‑E‑Book liefert praxisnahe Checklisten zur Prüfung von OAuth‑Berechtigungen, Mitarbeitersensibilisierung, Budget‑freundlichen technischen Kontrollen und Vorlagen für die Incident‑Response. Geeignet für IT‑Leiter und Geschäftsführung, die ohne zusätzliche Vollzeitkräfte sofort Maßnahmen umsetzen wollen. Gratis-Cyber-Security-Workbook anfordern