Los hackers solo siguieron la documentación de NGINX: resulta que no siempre se necesitan vulnerabilidades para hackear
Recursos estatales y educativos en Asia, principales objetivos de un nuevo ciberataque
Los especialistas de Datadog descubrieron una campaña activa de interceptación de tráfico web dirigida a servidores NGINX y a paneles de control de alojamiento, incluida la popular en Asia Baota. Los atacantes insertan de forma sigilosa reglas maliciosas en la configuración del servidor y empiezan a enrutar las solicitudes de los usuarios a través de nodos bajo su control, convirtiéndose efectivamente en intermediarios entre el sitio y el visitante.
El ataque está relacionado con un grupo que anteriormente explotó la vulnerabilidad React2Shell. Ahora emplea conjuntos de secuencias automatizadas para modificar la configuración de NGINX. Tras la inserción de esas reglas, las solicitudes legítimas al sitio no se bloquean, por lo que el propietario del recurso puede tardar en detectar el problema. Pero una parte de las peticiones se redirige a servidores externos, donde el tráfico puede analizarse, manipularse el contenido de las páginas o insertarse publicidad y esquemas de fraude.
Las zonas de dominio de países asiáticos suelen ser el objetivo de la campaña, incluidas .in, .id, .pe, .bd y .th, así como sitios en dominios de instituciones educativas y gubernamentales. Se presta especial atención a los servidores con el panel de control chino Baota, que se utiliza ampliamente entre los proveedores locales.
Los especialistas explican que el mecanismo del ataque se basa en las funciones estándar de NGINX. Las reglas maliciosas se añaden a los bloques de manejo de direcciones y usan funciones de proxy y reescritura de rutas. De este modo, la solicitud entrante aparentemente parece normal, pero en realidad se envía a otro servidor. Al mismo tiempo, los atacantes insertan cabeceras de servicio para mantener la apariencia de un usuario legítimo y dificultar la detección de la manipulación.
Las herramientas encontradas operan por fases. Primero se ejecuta el script principal, que descarga los demás componentes incluso cuando las utilidades estándar de descarga no están disponibles. Luego, módulos separados buscan los archivos de configuración de NGINX y del panel Baota, los revisan en busca de infecciones previas y añaden cuidadosamente los fragmentos maliciosos. Para evitar provocar una caída del sitio, tras los cambios se verifica la configuración y se realiza un reinicio suave del servicio. Si eso no funciona, se aplica un reinicio forzado.
Las versiones más avanzadas de los scripts saben sortear diferentes ubicaciones de los archivos de configuración en Linux y en entornos de contenedores, mantienen un registro de los dominios ya comprometidos y generan un mapa consolidado de las inyecciones. El informe luego se envía al servidor de mando de los atacantes.
Los especialistas aconsejan a los administradores revisar los archivos de configuración de NGINX en busca de reglas de proxy sospechosas y bloques inesperados de manejo de direcciones, especialmente si se usan paneles de control de alojamiento. También se recomienda activar el control de cambios de los archivos de configuración y el registro de los reinicios del servidor. Esto permite detectar más rápidamente las modificaciones no autorizadas y detener la interceptación de tráfico.