중요한 React2Shell 취약점, NGINX 서버 침해로 웹 트래픽 탈취 발생

공격자, React2Shell 취약점을 악용해 NGINX 서버를 통한 웹 트래픽 탈취

Datadog Security Labs의 사이버보안 연구원들은 NGINX 설치본 및 **바오타(BT)**와 같은 관리 패널을 대상으로 한 공격 캠페인을 발견했습니다. 이 공격은 웹 트래픽을 공격자가 제어하는 인프라로 리다이렉트하는 방식으로 진행되며, 공격자들은 **React2Shell(CVE-2025-55182)**이라는 CVSS 점수 10.0의 심각한 취약점을 악용하고 있습니다.

기술적 세부 사항

이 공격은 특정 NGINX 구성에서 사용되는 컴포넌트인 React2Shell의 원격 코드 실행(RCE) 취약점 CVE-2025-55182를 악용합니다. 이 취약점이 악용되면 공격자는 NGINX 서버에 대한 무단 액세스를 얻어 다음과 같은 활동을 수행할 수 있습니다:

• 서버 구성을 변조하여 트래픽을 악성 엔드포인트로 리다이렉트.
• 웹 응답에 악성 스크립트를 주입하여 피싱 또는 멀웨어 유포와 같은 추가 공격을 유도.
• 웹 호스팅 제어 패널인 **바오타(BT)**와 같은 관리 패널을 침해하여 지속성을 유지.

Datadog Security Labs는 공격자들이 취약한 NGINX 인스턴스를 적극적으로 스캔하고 있음을 확인했으며, 조직에서는 영향을 받는 시스템에 대한 패치를 긴급히 적용해야 합니다.

영향 분석

CVE-2025-55182의 악용은 조직에 다음과 같은 심각한 위험을 초래할 수 있습니다:

• 트래픽 탈취: 공격자가 웹 트래픽을 가로채거나 변조, 리다이렉트하여 데이터 유출 또는 중간자 공격(MITM)을 수행할 수 있습니다.
• 평판 손상: 침해된 서버가 악성 콘텐츠를 무의식적으로 배포하여 사용자 신뢰를 저하시킬 수 있습니다.
• 규제 위반: 무단 데이터 접근 또는 유출은 GDPR이나 CCPA와 같은 규제 프레임워크 하에서 법적 책임을 초래할 수 있습니다.

권고 사항

보안 팀은 다음 조치를 통해 위험을 완화해야 합니다:

1. 즉시 패치 적용: NGINX 및 관련 컴포넌트를 최신 버전으로 업데이트하여 CVE-2025-55182 취약점을 차단하세요.
2. 서버 구성 감사: NGINX 및 바오타(BT) 패널의 구성을 검토하여 트래픽 라우팅 규칙 등 무단 변경 사항이 없는지 확인하세요.
3. 의심스러운 활동 모니터링: 비정상적인 트래픽 패턴이나 무단 접근 시도를 탐지하기 위해 네트워크 모니터링 도구를 배포하세요.
4. 침해 시스템 격리: 공격이 감지되면 네트워크 내 횡적 이동을 방지하기 위해 영향을 받은 서버를 격리하세요.
5. 이해관계자 교육: IT 및 보안 팀이 위협을 인지하고 잠재적 사고에 대응할 수 있도록 교육하세요.

Datadog Security Labs는 이 캠페인을 지속적으로 모니터링하며 새로운 정보가 확인되는 대로 업데이트를 제공할 예정입니다. 조직에서는 이 중요한 위협으로부터 인프라를 보호하기 위해 신속한 조치를 취해야 합니다.