📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um agente de ameaça está comprometendo os servidores NGINX em uma campanha que sequestra o tráfego do usuário e o redireciona através da infraestrutura de back-end do invasor.
NGINX é um software de código aberto para gerenciamento de tráfego da Web. Ele intermedia conexões entre usuários e servidores e é empregado para serviços web, balanceamento de carga, armazenamento em cache e proxy reverso.
A campanha maliciosa, descoberta por pesquisadores do DataDog Security Labs, tem como alvo instalações NGINX e painéis de gerenciamento de hospedagem Baota usados por sites com domínios asiáticos de nível superior (.in, .id, .pe, .bd e .th) e sites governamentais e educacionais (.edu e .gov).
Os invasores modificam os arquivos de configuração NGINX existentes injetando blocos de “localização” maliciosos que capturam solicitações recebidas em caminhos de URL selecionados pelo invasor.
Eles então os reescrevem para incluir o URL original completo e encaminham o tráfego por meio da diretiva ‘proxy_pass’ para domínios controlados pelo invasor.
A diretiva abusada é normalmente usada para balanceamento de carga, permitindo que o NGINX redirecione solicitações por meio de grupos de servidores backend alternativos para melhorar o desempenho ou a confiabilidade; portanto, seu abuso não aciona nenhum alerta de segurança.
Cabeçalhos de solicitação como ‘Host’, ‘X-Real-IP’, ‘User-Agent’ e ‘Referer’ são preservados para fazer o tráfego parecer legítimo.
O ataque usa um kit de ferramentas de vários estágios com script para executar as injeções de configuração do NGINX. O kit de ferramentas opera em cinco etapas:
Estágio 1 – zx.sh: Atua como script inicial do controlador, responsável por baixar e executar os demais estágios. Inclui um mecanismo de fallback que envia solicitações HTTP brutas por TCP se curl ou wget não estiverem disponíveis.
Estágio 2 – bt.sh: Tem como alvo os arquivos de configuração NGINX gerenciados pelo painel Baota. Ele seleciona modelos de injeção dinamicamente com base no valor server_name, substitui com segurança a configuração e recarrega o NGINX para evitar tempo de inatividade do serviço.
Estágio 3 – 4zdh.sh: enumera locais de configuração comuns do NGINX, como sites habilitados, conf.d e sites disponíveis. Ele usa ferramentas de análise como csplit e awk para evitar corrupção de configuração, detecta injeções anteriores por meio de hashing e um arquivo de mapeamento global e valida alterações usando nginx -t antes de recarregar.
Estágio 4 – zdh.sh: Usa uma abordagem de segmentação mais restrita focada principalmente em /etc/nginx/sites-enabled, com ênfase em domínios .in e .id. Ele segue o mesmo processo de teste de configuração e recarga, com uma reinicialização forçada (pkill) usada como substituto.
Estágio 5 – ok.sh: verifica configurações NGINX comprometidas para construir um mapa de domínios sequestrados, modelos de injeção e alvos de proxy. Os dados coletados são então exfiltrados para um servidor de comando e controle (C2) em 158.94.210[.]227.
Visão geral do ataque de sequestroFonte: Datadog
Esses ataques são difíceis de detectar porque não exploram uma vulnerabilidade do NGINX; em vez disso, escondem instruções maliciosas nos seus ficheiros de configuração, que raramente são examinados.
Além disso, o tráfego do usuário ainda chega ao destino pretendido, muitas vezes diretamente, de modo que é improvável que a passagem pela infraestrutura do invasor seja percebida, a menos que seja realizado um monitoramento específico.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
NGINX é um software de código aberto para gerenciamento de tráfego da Web. Ele intermedia conexões entre usuários e servidores e é empregado para serviços web, balanceamento de carga, armazenamento em cache e proxy reverso.
A campanha maliciosa, descoberta por pesquisadores do DataDog Security Labs, tem como alvo instalações NGINX e painéis de gerenciamento de hospedagem Baota usados por sites com domínios asiáticos de nível superior (.in, .id, .pe, .bd e .th) e sites governamentais e educacionais (.edu e .gov).
Os invasores modificam os arquivos de configuração NGINX existentes injetando blocos de “localização” maliciosos que capturam solicitações recebidas em caminhos de URL selecionados pelo invasor.
Eles então os reescrevem para incluir o URL original completo e encaminham o tráfego por meio da diretiva ‘proxy_pass’ para domínios controlados pelo invasor.
A diretiva abusada é normalmente usada para balanceamento de carga, permitindo que o NGINX redirecione solicitações por meio de grupos de servidores backend alternativos para melhorar o desempenho ou a confiabilidade; portanto, seu abuso não aciona nenhum alerta de segurança.
Cabeçalhos de solicitação como ‘Host’, ‘X-Real-IP’, ‘User-Agent’ e ‘Referer’ são preservados para fazer o tráfego parecer legítimo.
O ataque usa um kit de ferramentas de vários estágios com script para executar as injeções de configuração do NGINX. O kit de ferramentas opera em cinco etapas:
Estágio 1 – zx.sh: Atua como script inicial do controlador, responsável por baixar e executar os demais estágios. Inclui um mecanismo de fallback que envia solicitações HTTP brutas por TCP se curl ou wget não estiverem disponíveis.
Estágio 2 – bt.sh: Tem como alvo os arquivos de configuração NGINX gerenciados pelo painel Baota. Ele seleciona modelos de injeção dinamicamente com base no valor server_name, substitui com segurança a configuração e recarrega o NGINX para evitar tempo de inatividade do serviço.
Estágio 3 – 4zdh.sh: enumera locais de configuração comuns do NGINX, como sites habilitados, conf.d e sites disponíveis. Ele usa ferramentas de análise como csplit e awk para evitar corrupção de configuração, detecta injeções anteriores por meio de hashing e um arquivo de mapeamento global e valida alterações usando nginx -t antes de recarregar.
Estágio 4 – zdh.sh: Usa uma abordagem de segmentação mais restrita focada principalmente em /etc/nginx/sites-enabled, com ênfase em domínios .in e .id. Ele segue o mesmo processo de teste de configuração e recarga, com uma reinicialização forçada (pkill) usada como substituto.
Estágio 5 – ok.sh: verifica configurações NGINX comprometidas para construir um mapa de domínios sequestrados, modelos de injeção e alvos de proxy. Os dados coletados são então exfiltrados para um servidor de comando e controle (C2) em 158.94.210[.]227.
Visão geral do ataque de sequestroFonte: Datadog
Esses ataques são difíceis de detectar porque não exploram uma vulnerabilidade do NGINX; em vez disso, escondem instruções maliciosas nos seus ficheiros de configuração, que raramente são examinados.
Além disso, o tráfego do usuário ainda chega ao destino pretendido, muitas vezes diretamente, de modo que é improvável que a passagem pela infraestrutura do invasor seja percebida, a menos que seja realizado um monitoramento específico.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
#samirnews #samir #news #boletimtec #hackers #comprometem #servidores #nginx #para #redirecionar #o #tráfego #de #usuários
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário