VOLTAR ÀS NOTÍCIAS
Última Hora

Exploração Crítica do React2Shell Desvia Tráfego Web via Servidores NGINX Comprometidos

3 min de leituraFonte: The Hacker News
CVE-2025-55182

Pesquisadores da Datadog Security Labs identificaram campanha ativa explorando a vulnerabilidade React2Shell (CVE-2025-55182) em servidores NGINX e painéis como Baota (BT). Saiba como se proteger.

Atacantes Exploram React2Shell para Desviar Tráfego Web via Servidores NGINX

Pesquisadores de cibersegurança da Datadog Security Labs descobriram uma campanha ativa que tem como alvo instalações do NGINX e painéis de gerenciamento, como o Baota (BT), redirecionando o tráfego web por meio de infraestrutura controlada por atacantes. Os agentes de ameaça por trás dessa operação estão explorando a vulnerabilidade React2Shell (CVE-2025-55182), classificada como crítica com uma pontuação CVSS de 10.0, para comprometer servidores e manipular fluxos de tráfego.

Detalhes Técnicos

O ataque explora a CVE-2025-55182, uma vulnerabilidade de execução remota de código (RCE) no React2Shell, um componente utilizado em certas configurações do NGINX. Uma vez explorada, os agentes de ameaça obtêm acesso não autorizado aos servidores NGINX, permitindo-lhes:

  • Modificar configurações do servidor para redirecionar o tráfego a endpoints maliciosos.
  • Injetar scripts maliciosos em respostas web, facilitando ataques adicionais, como phishing ou distribuição de malware.
  • Comprometer painéis de gerenciamento, como o Baota (BT), um painel de controle de hospedagem web popular, para manter persistência.

A Datadog Security Labs observou que os atacantes estão realizando varreduras ativas em busca de instâncias vulneráveis do NGINX, destacando a urgência para que as organizações apliquem patches nos sistemas afetados.

Análise de Impacto

A exploração da CVE-2025-55182 representa riscos severos para as organizações, incluindo:

  • Desvio de tráfego: Os atacantes podem interceptar, modificar ou redirecionar o tráfego web, levando à exfiltração de dados ou ataques do tipo man-in-the-middle (MITM).
  • Dano à reputação: Servidores comprometidos podem distribuir conteúdo malicioso sem o conhecimento da organização, corroendo a confiança dos usuários.
  • Consequências regulatórias: O acesso ou exposição não autorizada de dados pode resultar em violações de conformidade, especialmente sob frameworks como GDPR ou CCPA.

Recomendações

As equipes de segurança são orientadas a seguir os seguintes passos para mitigar os riscos:

  1. Aplicar patches imediatamente: Atualize o NGINX e componentes associados para as versões mais recentes, a fim de corrigir a vulnerabilidade CVE-2025-55182.
  2. Auditar configurações do servidor: Revise as configurações do NGINX e do painel Baota (BT) em busca de alterações não autorizadas, especialmente nas regras de roteamento de tráfego.
  3. Monitorar atividades suspeitas: Implemente ferramentas de monitoramento de rede para detectar padrões de tráfego incomuns ou tentativas de acesso não autorizado.
  4. Isolar sistemas comprometidos: Caso a exploração seja detectada, isole os servidores afetados para evitar movimentação lateral dentro da rede.
  5. Educar stakeholders: Garanta que as equipes de TI e segurança estejam cientes da ameaça e preparadas para responder a possíveis incidentes.

A Datadog Security Labs continua monitorando essa campanha e fornecerá atualizações conforme novos detalhes surgirem. As organizações são instadas a priorizar os esforços de remediação para proteger sua infraestrutura contra essa ameaça crítica.

Compartilhar

TwitterLinkedIn