Wenn Sie NGINX verwenden, um Websites zu dienen, Lastausgleich oder als Proxy-Inverse zu tun, beachten Sie: Eine Kampagne wurde kürzlich entdeckt, in der ein bösartiger Schauspieler NGINX-Server und Hosting-Management-Tools verpflichtet, den Traffic der Benutzer auf ihre eigene Infrastruktur umzuleiten, das Aussehen der normalen.
NGINX ist im Design ein Intermediär zwischen dem Besucher und dem Endserver: Er erhält Anfragen, gilt Regeln, kann sie suchen und an andere Backends zurückschicken. Diese Flexibilität ist genau das, was diese Angreifer ausnutzen. Datenschutz Labs-Forscher haben dokumentiert, wie Angreifer schädliche Konfigurationsblöcke in NGINX-Dateien eingeben - vor allem in Einrichtungen, die mit dem Baota-Panel verwaltet werden -, um bestimmte Routen zu erfassen und sie durch die Richtlinie zurück zu senden. Proxy _ Pass an von ihnen kontrollierte Server. Sie können mehr über Datadogs Arbeit im Sicherheitsbereich seines Blogs lesen ( Datadog Security Labs)
Was die Kampagne tut, ist Blocks injizieren. Standort die vom Angreifer gewählten Routen übereinstimmen und die Anfrage erneut schreiben, die ursprüngliche URL einzubeziehen, bevor sie mit Proxy _ Pass zu externen Domänen. Um die Umleitung legitim erscheinen zu lassen, halten sie Kopfzeilen wie Gastgeber, X-Real-IP, Benutzer-Agent oder Schiedsrichter. Seit Proxy _ Pass ist eine legitime und sehr genutzte Funktion zum Ausgleichen und Versagen, ihr Missbrauch wird unbemerkt, wenn die Konfigurationen nicht inspiziert werden.
Der entdeckte Modus operandi enthält eine Reihe von automatisierten Skripten, die in Stufen agieren: ein initialer Treiber lädt und führt die restlichen Komponenten und kann sogar rohe HTTP-Anfragen an TCP senden, wenn es keine Tools wie Curl oder wget gibt; eine andere Komponente ist speziell auf Dateien gerichtet, die vom Baota-Panel verwaltet werden und wählt Injektionsvorlagen nach dem Wert des Server _ Name, Überschreiben der Konfiguration, so dass der Dienst nicht auf die Bereitstellung des Dienstes hört; es gibt Tools, die Konfigurationsdateien an typischen Orten suchen und bearbeiten (sites-enabled, conf.d, sites-verfügbar), verwenden Textprogramme, um Fragmente zu trennen und zu bearbeiten, ohne sie zu korrumpieren, Änderungen mit nginx -t vor dem erneuten Aufladen und Markieren der Dateien, die bereits durch Beträge zur Vermeidung der Verdoppelung der Injektion infiziert sind; ein weiteres Stück konzentriert den Angriff auf eine Untermenge von Domänen (nach Forschern, viele mit regionalen Kündigungen wie .in und .id und auch Standorten mit .edu / .gov Suffixes) und verwendet gezwungene Wiedereinitials als letztes Resort; schließlich gibt es ein Skript, das eine Karte von kompromittierten Track-Informationen und Exfiltrakten erfinden würde, die identifizierten, die von den Servernen.
Gerade weil eine Schwachstelle nicht in der NGINX-Engine verwendet wird, sondern die Fähigkeit, Ihre Konfigurationsdateien zu ändern, sind diese Angriffe komplex zu erkennen. Manager können nichts Merkwürdiges bemerken: Nutzer erhalten weiterhin den erwarteten Inhalt und Verkehr zeigt nicht sichtbare Fehler mit dem bloßen Auge. Darüber hinaus scheint die Interaktion durch das Halten von Headern und Senden von Anfragen aus der Sicht des Kunden legitim und viele Überwachungssysteme ignorieren den Unterschied.
Wenn Sie überprüfen möchten, ob Ihre Umgebung betroffen ist, gibt es mehrere praktische Linien der Verteidigung. Überprüfen Sie die NGINX-Einstellungen sorgfältig für Standort und Proxy _ Pass dass auf Domänen oder PIs außerhalb Ihrer Organisation, ein einfacher Befehl zu starten ist, um nach Proxy zu suchen _ Pass-Ereignisse auf typischen Konfigurationsrouten, und immer validieren mit nginx -t vor dem Aufladen. Beschränken Sie, wer in den Konfigurationsdateien und in den Verzeichnissen des Hosting-Panels schreiben kann, unerwartete Änderungen mit Dateiintegritätssystemen überwachen und auf NGINX-Rechargen oder Neustart aufmerksam machen kann. Es wird auch empfohlen, unbefugten ausgehenden Traffic von Webservern einzuschränken und Kontrolltafeln wie Baota mit starken Passwörtern, Multifaktor-Authentifizierung und IP-Zugriff, soweit möglich, zu schützen. Das Baota-Panel hat eine Online-Präsenz auf seiner offiziellen Website ( BaoTa (BT.cn)) und es ist angemessen sicherzustellen, dass diese Körper freigelegt werden.
Um zu verstehen, warum die Erkennung dieser Manipulationen nicht trivial ist, denken Sie daran, dass Proxy _ Pass ist eine dokumentierte und gemeinsame NGINX-Richtlinie; die technische Dokumentation selbst beschreibt ihre Verwendung, um Anfragen an Backends zu senden und ist ein Grundstück in modernen Architekturen ( NGINX offizielle Dokumentation zum Proxy _ Pass) Das bedeutet, dass schädliche Änderungen als gültige und funktionale Konfigurationen tarnen.
Wenn Sie den Forschungs- oder Prüfindikatoren folgen möchten, veröffentlichen die Antwortteams in der Regel Geräte und IP-Adressen, die mit C2 verbunden sind, um in Firewalls und Ablehnungslisten zu blockieren; zum Beispiel kann eine der Adressen, die mit den Forschern verbunden sind, auf öffentlichen Rufbasis konsultiert werden ( Beratung in AbuseIPDB für 158.94.210.227), die dazu beiträgt, auf defensive Ebene Netzmaßnahmen zu ergreifen.
Kurz gesagt, es reicht nicht aus, um die Software zu schützen: es ist notwendig, die Konfiguration und den Zugriff darauf zu schützen. regelmäßig Konfigurationsdateien überprüfen, Änderungen an autorisiertem Personal begrenzen und NGINX Netzwerktelemetrie überwachen und erneut aufladen sind wesentliche Maßnahmen zur Erkennung und Eindämmung solcher Kampagnen. Wenn Sie Server mit Hosting-Panels verwalten, stellen Sie sicher, dass diese Panels aktuell sind und dass der Zugriff stark authentifiziert wird; die Sicherheit der Management-Schicht ist oft die zerbrechlichste Verbindung in diesen Vorfällen.
Wenn Sie spezielle technische Empfehlungen und Minderungspraktiken vertiefen möchten, veröffentlichen die Community und Lieferanten wie Datadog oder NGINX selbst Anleitungen und technische Einträge, die verfolgt werden sollten: Neben dem technischen Artikel von Datadog, der eingangs zitiert wird, hält NGINX Einträge zu guten Sicherheitspraktiken auf seinem Blog ( NGINX Sicherheit - Anleitung und Empfehlungen) Die Kombination dieser guten Praktiken mit Integrität und Netzwerk-Kontrollen ist das beste Rezept für keine Überraschungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...