ZURÜCK ZU NACHRICHTEN
Eilmeldung

NGINX-Server im Visier: Kampagne zur Traffic-Umleitung enthüllt

3 Min. LesezeitQuelle: BleepingComputer

Sicherheitsforscher decken eine aktive Cyberangriffskampagne auf, bei der NGINX-Server kompromittiert werden, um Nutzer-Traffic umzuleiten. Erfahren Sie, wie Sie Risiken erkennen und abwehren.

NGINX-Server für Traffic-Umleitung in laufender Cyberangriffskampagne ausgenutzt

Sicherheitsforscher haben eine aktive Kampagne identifiziert, bei der Angreifer NGINX-Server kompromittieren, um Nutzer-Traffic über von Angreifern kontrollierte Infrastruktur umzuleiten. Die Operation, die weiterhin untersucht wird, birgt erhebliche Risiken für Datenabfang, Credential-Diebstahl und die Verbreitung von Sekundärmalware.

Übersicht über den Angriff

Die Kampagne zielt auf verwundbare oder falsch konfigurierte NGINX-Server ab, eine weit verbreitete Webserver- und Reverse-Proxy-Plattform. Nach der Kompromittierung modifizieren Angreifer die Serverkonfigurationen, um legitimen Traffic auf bösartige Endpunkte umzuleiten. Diese Technik ermöglicht es Angreifern, sensible Daten abzufangen, bösartige Payloads einzuschleusen oder Man-in-the-Middle-Angriffe (MITM) gegen ahnungslose Nutzer durchzuführen.

Obwohl die genauen Exploit-Methoden noch nicht offengelegt wurden, umfassen gängige Angriffsvektoren für NGINX-Kompromittierungen:

  • Freigelegte administrative Schnittstellen (z. B. Standard-Anmeldedaten, schwache Authentifizierung)
  • Veraltete Softwareversionen mit ungepatchten Schwachstellen
  • Falsch konfigurierte Reverse-Proxy-Regeln, die unautorisierten Zugriff ermöglichen
  • Supply-Chain-Angriffe über kompromittierte Drittanbietermodule

Technische Auswirkungenanalyse

Der Traffic-Umleitungsmechanismus arbeitet auf Serverebene, was die Erkennung für Endnutzer erschwert. Zu den Hauptrisiken gehören:

  1. Datenexposition: Abgefangener Traffic kann sensible Informationen enthalten wie:

    • Authentifizierungs-Credentials
    • Session-Cookies
    • Zahlungskartendaten (falls die Verarbeitung auf betroffenen Servern erfolgt)
    • Geschäftsinterne Kommunikation

  2. Sekundäre Ausnutzung: Umgeleitete Nutzer können folgenden Risiken ausgesetzt sein:

    • Malware-Downloads (z. B. Infostealer, Ransomware)
    • Phishing-Landingpages
    • Cryptojacking-Skripte

  3. Reputationsschäden: Organisationen können folgende Konsequenzen erleiden:

    • Verlust des Kundenvertrauens
    • Compliance-Verstöße (z. B. DSGVO, PCI DSS)
    • Markenschädigung durch bösartige Umleitungen

Empfehlungen zur Erkennung und Abwehr

Sicherheitsteams sollten folgende Maßnahmen priorisieren:

Sofortmaßnahmen

  • Prüfen Sie NGINX-Konfigurationen auf unautorisierte Änderungen, insbesondere in:
    • nginx.conf und inkludierten Konfigurationsdateien
    • Reverse-Proxy-Regeln (proxy_pass-Direktiven)
    • Server-Block-Definitionen (server {})
  • Überprüfen Sie den Netzwerkverkehr auf unerwartete ausgehende Verbindungen zu unbekannten IP-Adressen oder Domains
  • Rotieren Sie Credentials für alle NGINX-bezogenen Dienste, einschließlich:
    • Administrative Schnittstellen
    • Datenbankverbindungen
    • API-Schlüssel

Langfristige Härtung

  • Aktualisieren Sie NGINX auf die neueste stabile Version, um bekannte Schwachstellen zu beheben (z. B. CVE-2022-41741, CVE-2021-23017)
  • Implementieren Sie das Prinzip der geringsten Privilegien für NGINX-Prozesse und Administratoren
  • Setzen Sie File Integrity Monitoring (FIM) ein, um unautorisierte Konfigurationsänderungen zu erkennen
  • Aktivieren Sie Protokollierung und Überwachung für:
    • Änderungen an Konfigurationsdateien
    • Ungewöhnliche Traffic-Muster (z. B. Spitzen bei Umleitungen)
    • Fehlgeschlagene Authentifizierungsversuche
  • Segmentieren Sie NGINX-Server von kritischen internen Netzwerken, um das Potenzial für laterale Bewegungen zu begrenzen

Schutzmaßnahmen für Nutzer

  • Schulen Sie Nutzer, um Anzeichen von Traffic-Hijacking zu erkennen, wie:
    • Unerwartete SSL/TLS-Zertifikatswarnungen
    • Umleitungen auf unbekannte Domains
    • Langsame oder ungewöhnliche Browsing-Aktivitäten
  • Erzwingen Sie HTTPS mit HSTS (HTTP Strict Transport Security), um MITM-Risiken zu mindern

Branchenkontext

NGINX betreibt über 30 % der globalen Webserver, was es zu einem attraktiven Ziel für Angreifer macht. Ähnliche Kampagnen haben in der Vergangenheit folgende Schwachstellen ausgenutzt:

  • CVE-2019-20372: NGINX-Resolver-Schwachstelle, die Cache-Poisoning ermöglicht
  • CVE-2017-7529: Integer-Überlauf im NGINX-Range-Filter-Modul

Organisationen wird empfohlen, NGINX-Server als kritische Assets zu behandeln, die kontinuierliche Überwachung und proaktive Härtung erfordern. Weitere Details zu den Angriffsmethoden werden erwartet, sobald die Untersuchungen voranschreiten.

Teilen

TwitterLinkedIn