НАЗАД К НОВОСТЯМ
Срочные новости

NGINX-серверы под прицелом: кампания по перенаправлению трафика пользователей

3 мин чтенияИсточник: BleepingComputer

Эксперты по кибербезопасности обнаружили активную кампанию, в ходе которой злоумышленники компрометируют NGINX-серверы для перехвата и перенаправления трафика. Узнайте, как защититься от угрозы.

Злоумышленники используют NGINX-серверы для перенаправления трафика в ходе масштабной кибератаки

Специалисты по кибербезопасности выявили активную кампанию, в рамках которой злоумышленники компрометируют NGINX-серверы с целью перехвата и перенаправления пользовательского трафика через инфраструктуру, контролируемую атакующими. Операция, расследование которой продолжается, представляет значительные риски для перехвата данных, кражи учётных данных и распространения вторичного вредоносного ПО.

Обзор атаки

Кампания нацелена на уязвимые или неправильно сконфигурированные NGINX-серверы — широко используемую платформу для веб-серверов и обратных прокси. После компрометации злоумышленники изменяют конфигурации серверов, чтобы перенаправлять легитимный трафик на вредоносные конечные точки. Эта техника позволяет атакующим перехватывать конфиденциальные данные, внедрять вредоносные payload’ы или проводить атаки "человек посередине" (MITM) против ничего не подозревающих пользователей.

Хотя конкретные методы эксплуатации пока не раскрываются, к распространённым векторам атак на NGINX относятся:

  • Открытые административные интерфейсы (например, использование стандартных учётных данных или слабая аутентификация)
  • Устаревшие версии ПО с неустранёнными уязвимостями
  • Неправильно настроенные правила обратного прокси, позволяющие несанкционированный доступ
  • Атаки на цепочку поставок через скомпрометированные сторонние модули

Анализ технических последствий

Механизм перенаправления трафика работает на уровне сервера, что затрудняет его обнаружение конечными пользователями. Ключевые риски включают:

  1. Утечка данных: Перехваченный трафик может содержать конфиденциальную информацию, такую как:

    • Учётные данные для аутентификации
    • Сессионные cookies
    • Данные платёжных карт (если обработка происходит на скомпрометированных серверах)
    • Корпоративная переписка

  2. Вторичная эксплуатация: Перенаправленные пользователи могут столкнуться с:

    • Загрузкой вредоносного ПО (например, инфостилеров, программ-вымогателей)
    • Фишинговыми страницами
    • Скриптами для майнинга криптовалют (cryptojacking)

  3. Репутационный ущерб: Организации могут столкнуться с:

    • Потерей доверия клиентов
    • Нарушениями требований соответствия (например, GDPR, PCI DSS)
    • Ухудшением бренда из-за вредоносных перенаправлений

Рекомендации по обнаружению и защите

Командам по информационной безопасности следует предпринять следующие действия:

Экстренные меры

  • Провести аудит конфигураций NGINX на предмет несанкционированных изменений, особенно в:
    • Файлах nginx.conf и связанных конфигурационных файлах
    • Правилах обратного прокси (proxy_pass)
    • Определениях серверных блоков (server {})
  • Проанализировать сетевой трафик на предмет неожиданных исходящих подключений к неизвестным IP-адресам или доменам
  • Сменить учётные данные для всех сервисов, связанных с NGINX, включая:
    • Административные интерфейсы
    • Подключения к базам данных
    • API-ключи

Долгосрочное укрепление защиты

  • Обновить NGINX до последней стабильной версии, устранив известные уязвимости (например, CVE-2022-41741, CVE-2021-23017)
  • Реализовать принцип минимальных привилегий для процессов NGINX и администраторов
  • Развернуть систему мониторинга целостности файлов (FIM) для обнаружения несанкционированных изменений конфигурации
  • Включить журналирование и мониторинг для:
    • Изменений конфигурационных файлов
    • Необычных паттернов трафика (например, резкий рост перенаправлений)
    • Неудачных попыток аутентификации
  • Сегментировать NGINX-серверы от критически важных внутренних сетей, чтобы ограничить потенциал для горизонтального перемещения

Защита на стороне пользователей

  • Обучить пользователей распознавать признаки перехвата трафика, такие как:
    • Неожиданные предупреждения о сертификатах SSL/TLS
    • Перенаправления на незнакомые домены
    • Замедленная или необычная работа браузера
  • Принудительно использовать HTTPS с HSTS (HTTP Strict Transport Security) для снижения рисков атак MITM

Контекст в отрасли

NGINX обслуживает более 30% глобальных веб-серверов, что делает его ценной целью для злоумышленников. В прошлом аналогичные кампании эксплуатировали уязвимости:

  • CVE-2019-20372: Уязвимость резолвера NGINX, позволяющая отравление кэша
  • CVE-2017-7529: Переполнение целых чисел в модуле range filter NGINX

Организациям рекомендуется рассматривать NGINX-серверы как критически важные активы, требующие постоянного мониторинга и проактивного укрепления защиты. Ожидается, что по мере расследования будут раскрыты дополнительные детали о методах атак.

Поделиться

TwitterLinkedIn