VOLVER A NOTICIAS
Última Hora

Exploit Crítico React2Shell Secuestra Tráfico Web mediante Servidores NGINX Comprometidos

3 min de lecturaFuente: The Hacker News
CVE-2025-55182

Investigadores descubren una campaña activa que explota React2Shell (CVE-2025-55182) en servidores NGINX y paneles como Baota (BT) para redirigir tráfico maliciosamente.

Atacantes Explotan React2Shell para Secuestrar Tráfico Web mediante Servidores NGINX

Investigadores de ciberseguridad de Datadog Security Labs han descubierto una campaña activa que está atacando instalaciones de NGINX y paneles de gestión como Baota (BT), redirigiendo el tráfico web a través de infraestructuras controladas por los atacantes. Los actores de amenazas detrás de esta operación están aprovechando React2Shell (CVE-2025-55182), una vulnerabilidad crítica con una puntuación CVSS de 10.0, para comprometer servidores y manipular los flujos de tráfico.

Detalles Técnicos

El ataque explota CVE-2025-55182, una vulnerabilidad de ejecución remota de código (RCE) en React2Shell, un componente utilizado en ciertas configuraciones de NGINX. Una vez explotada, los actores de amenazas obtienen acceso no autorizado a los servidores NGINX, lo que les permite:

  • Modificar configuraciones del servidor para redirigir el tráfico a endpoints maliciosos.
  • Inyectar scripts maliciosos en las respuestas web, facilitando ataques adicionales como phishing o distribución de malware.
  • Comprometer paneles de gestión como Baota (BT), un popular panel de control de hosting web, para mantener persistencia.

Datadog Security Labs observó que los atacantes están escaneando activamente en busca de instancias vulnerables de NGINX, lo que subraya la urgencia de que las organizaciones parcheen los sistemas afectados.

Análisis de Impacto

La explotación de CVE-2025-55182 representa riesgos graves para las organizaciones, incluyendo:

  • Secuestro de tráfico: Los atacantes pueden interceptar, modificar o redirigir el tráfico web, lo que puede llevar a la exfiltración de datos o ataques de intermediario (MITM).
  • Daño a la reputación: Los servidores comprometidos pueden distribuir contenido malicioso sin conocimiento, erosionando la confianza de los usuarios.
  • Consecuencias regulatorias: El acceso no autorizado o la exposición de datos pueden resultar en violaciones de cumplimiento, especialmente bajo marcos como GDPR o CCPA.

Recomendaciones

Se recomienda a los equipos de seguridad tomar las siguientes medidas para mitigar los riesgos:

  1. Aplicar parches de inmediato: Actualizar NGINX y los componentes asociados a las versiones más recientes para cerrar la vulnerabilidad CVE-2025-55182.
  2. Auditar configuraciones del servidor: Revisar las configuraciones de NGINX y del panel Baota (BT) en busca de cambios no autorizados, especialmente en las reglas de enrutamiento de tráfico.
  3. Monitorear actividad sospechosa: Implementar herramientas de monitoreo de red para detectar patrones de tráfico inusuales o intentos de acceso no autorizados.
  4. Aislar sistemas comprometidos: Si se detecta explotación, aislar los servidores afectados para prevenir el movimiento lateral dentro de la red.
  5. Educar a los interesados: Asegurar que los equipos de TI y seguridad estén al tanto de la amenaza y preparados para responder a posibles incidentes.

Datadog Security Labs continúa rastreando esta campaña y proporcionará actualizaciones a medida que surjan nuevos detalles. Se insta a las organizaciones a priorizar los esfuerzos de remediación para proteger su infraestructura de esta amenaza crítica.

Compartir

TwitterLinkedIn