严重React2Shell漏洞劫持Web流量：NGINX服务器遭攻击

攻击者利用React2Shell漏洞劫持NGINX服务器Web流量

Datadog安全实验室的网络安全研究人员近日发现一起针对NGINX安装实例及**宝塔（BT）等管理面板的活跃攻击活动。攻击者通过利用React2Shell（CVE-2025-55182）**这一严重漏洞（CVSS评分高达10.0），成功入侵服务器并操纵流量导向攻击者控制的基础设施。

技术细节

该攻击利用了CVE-2025-55182，这是存在于React2Shell（某些NGINX配置中使用的组件）中的远程代码执行（RCE）漏洞。一旦被成功利用，威胁行为者可获得对NGINX服务器的未授权访问，从而实施以下恶意操作：

• 修改服务器配置：将流量重定向至恶意终端。
• 注入恶意脚本：在Web响应中插入恶意代码，进一步发起钓鱼攻击或传播恶意软件。
• 入侵管理面板：如**宝塔（BT）**等流行的Web主机控制面板，以维持持久性控制。

Datadog安全实验室观察到，攻击者正在积极扫描存在漏洞的NGINX实例，这凸显了企业及时修补受影响系统的紧迫性。

影响分析

CVE-2025-55182的利用可能对企业造成严重风险，包括：

• 流量劫持：攻击者可拦截、篡改或重定向Web流量，导致数据泄露或中间人（MITM）攻击。
• 声誉损害：被入侵的服务器可能在无意中传播恶意内容，损害用户信任。
• 合规风险：未经授权的数据访问或泄露可能导致违反GDPR或CCPA等法规，面临合规处罚。

防护建议

安全团队应采取以下措施降低风险：

1. 立即修补漏洞：更新NGINX及相关组件至最新版本，修复CVE-2025-55182漏洞。
2. 审计服务器配置：检查NGINX及宝塔（BT）面板配置是否存在未授权更改，特别是流量路由规则。
3. 监控可疑活动：部署网络监控工具，检测异常流量模式或未授权访问尝试。
4. 隔离受感染系统：如发现漏洞利用迹象，立即隔离受影响服务器，防止攻击在网络内横向移动。
5. 培训相关人员：确保IT及安全团队了解此威胁，并做好应对潜在事件的准备。

Datadog安全实验室将持续跟踪此攻击活动，并及时发布最新进展。企业应优先采取修复措施，保护基础设施免受这一严重威胁的侵害。