ZURÜCK ZU NACHRICHTEN
Eilmeldung

Kritische React2Shell-Schwachstelle kapert Web-Traffic über kompromittierte NGINX-Server

2 Min. LesezeitQuelle: The Hacker News
CVE-2025-55182

Sicherheitsforscher von Datadog Security Labs entdecken eine aktive Angriffskampagne, die NGINX-Installationen und Management-Panels wie Baota (BT) ausnutzt, um Web-Traffic umzuleiten.

Angreifer nutzen React2Shell aus, um Web-Traffic über NGINX-Server zu kapern

Sicherheitsforscher von Datadog Security Labs haben eine aktive Angriffskampagne aufgedeckt, die NGINX-Installationen und Management-Panels wie Baota (BT) ins Visier nimmt. Dabei wird Web-Traffic über eine vom Angreifer kontrollierte Infrastruktur umgeleitet. Die hinter dieser Operation stehenden Bedrohungsakteure nutzen React2Shell (CVE-2025-55182), eine kritische Schwachstelle mit einem CVSS-Score von 10.0, um Server zu kompromittieren und den Datenverkehr zu manipulieren.

Technische Details

Der Angriff nutzt CVE-2025-55182 aus, eine Remote Code Execution (RCE)-Schwachstelle in React2Shell, einer Komponente, die in bestimmten NGINX-Konfigurationen verwendet wird. Nach erfolgreicher Ausnutzung erhalten die Angreifer unbefugten Zugriff auf NGINX-Server, wodurch sie in der Lage sind:

  • Serverkonfigurationen zu modifizieren, um den Traffic auf bösartige Endpunkte umzuleiten.
  • Schadhafte Skripte in Web-Antworten einzuschleusen, um weitere Angriffe wie Phishing oder die Verbreitung von Malware zu ermöglichen.
  • Management-Panels wie Baota (BT), ein beliebtes Webhosting-Kontrollpanel, zu kompromittieren, um Persistenz zu gewährleisten.

Datadog Security Labs beobachtete, dass die Angreifer aktiv nach verwundbaren NGINX-Instanzen scannen, was die Dringlichkeit für Unternehmen unterstreicht, betroffene Systeme zu patchen.

Auswirkungen der Schwachstelle

Die Ausnutzung von CVE-2025-55182 birgt erhebliche Risiken für Unternehmen, darunter:

  • Traffic-Hijacking: Angreifer können Web-Traffic abfangen, modifizieren oder umleiten, was zu Datenexfiltration oder Man-in-the-Middle (MITM)-Angriffen führen kann.
  • Reputationsschäden: Kompromittierte Server könnten unwissentlich schädliche Inhalte verbreiten, was das Vertrauen der Nutzer untergräbt.
  • Regulatorische Konsequenzen: Unbefugter Datenzugriff oder -offenlegung kann zu Compliance-Verstößen führen, insbesondere im Rahmen von Vorschriften wie der DSGVO oder dem CCPA.

Empfehlungen

Sicherheitsteams wird empfohlen, folgende Maßnahmen zur Risikominderung zu ergreifen:

  1. Patches umgehend anwenden: NGINX und zugehörige Komponenten auf die neuesten Versionen aktualisieren, um die Schwachstelle CVE-2025-55182 zu schließen.
  2. Serverkonfigurationen prüfen: NGINX- und Baota (BT)-Panel-Konfigurationen auf unautorisierte Änderungen überprüfen, insbesondere bei Traffic-Routing-Regeln.
  3. Auf verdächtige Aktivitäten überwachen: Netzwerküberwachungstools einsetzen, um ungewöhnliche Traffic-Muster oder unbefugte Zugriffsversuche zu erkennen.
  4. Kompromittierte Systeme isolieren: Bei Erkennung einer Ausnutzung betroffene Server isolieren, um laterale Bewegungen im Netzwerk zu verhindern.
  5. Stakeholder sensibilisieren: IT- und Sicherheitsteams über die Bedrohung informieren und auf mögliche Vorfälle vorbereiten.

Datadog Security Labs verfolgt diese Kampagne weiterhin und wird Updates bereitstellen, sobald neue Details bekannt werden. Unternehmen werden aufgefordert, die Behebung dieser kritischen Schwachstelle zu priorisieren, um ihre Infrastruktur zu schützen.

Teilen

TwitterLinkedIn