Analysten von DataDog Security Labs haben eine gross angelegte Traffic-Hijacking-Kampagne gegen Nginx-Server dokumentiert. Angreifer kompromittieren hierbei Webserver, schleusen unauffällige Konfigurationsaenderungen ein und leiten ausgewaehlten Nutzerverkehr heimlich ueber ihre eigene Infrastruktur um – ohne dass typische Monitoring- oder Sicherheitstools dies sofort erkennen.
Angriffsziele: Nginx-Server und das Baota-Hosting-Panel
Die Kampagne wird mit der Ausnutzung einer Schwachstelle in Verbindung gebracht, die unter dem Namen React2Shell diskutiert wird. Diese Luecke dient vermutlich als primärer Einstieg, um ersten Zugriff auf die betroffenen Systeme zu erhalten. Nach erfolgreicher Kompromittierung konzentrieren sich die Angreifer auf Nginx-Installationen sowie auf das weit verbreitete Baota-Hosting-Panel, das besonders im Umfeld von virtuellen und dedizierten Servern genutzt wird.
Im Fokus stehen vor allem Websites mit Top-Level-Domains, die im asiatischen Raum verbreitet sind, darunter .in, .id, .pe, .bd, .th. Auffällig ist zudem ein gezieltes Interesse an Domains aus den Zonen .edu und .gov. Solche Bildungs- und Regierungsressourcen geniessen hohes Vertrauen bei Nutzern und Suchmaschinen, was sie zu besonders lohnenden Zielen fuer Phishing, finanzielle Betrugsversuche und die verdeckte Verteilung von Malware macht.
Technische Umsetzung: Manipulierte Nginx-Konfiguration statt Exploit im Code
Missbrauch von location-Bloecken und proxy_pass in Nginx
Bemerkenswert ist, dass die Angreifer keine Sicherheitsluecke in Nginx selbst ausnutzen. Stattdessen wird die bestehende Konfigurationsdatei von Nginx veraendert. In diese werden versteckte location-Bloecke eingefuegt, die bestimmte URLs abfangen und ueber die Direktive proxy_pass an Server unter Kontrolle der Angreifer weiterleiten.
Bei diesem Reverse-Proxy-Angriff bleiben entscheidende Header wie Host, X-Real-IP, User-Agent, Referer erhalten. Fuer Zielsystem und Monitoring wirkt der Datenstrom damit wie normaler Traffic, der ueber einen legitimen Load Balancer oder Reverse Proxy laeuft. Genau dieser Effekt macht die Technik so wirkungsvoll: der Umweg ueber die Infrastruktur der Angreifer ist im Protokollfluss nur schwer zu erkennen.
Automatisierte Massenausbreitung ueber viele Server
DataDog berichtet von einem stark automatisierten Werkzeugkasten, mit dem diese Konfigurationsmanipulationen ausgerollt werden. Der Prozess umfasst typischerweise das Scannen nach verwundbaren Systemen, den eigentlichen React2Shell-Exploit, das Einfuegen der schadhaften location– und proxy_pass-Bloecke in bestehende Konfigurationen sowie den Neustart oder Reload von Nginx.
Auf diese Weise lassen sich identische Angriffsmuster auf einer grossen Zahl von Servern etablieren. In der Praxis werden Konfigurationsdateien vieler Organisationen nur sporadisch ueberprueft. Ohne Versionierung, Vier-Augen-Prinzip oder Integritaetskontrolle fallen versteckte Direktiven haeufig ueber laengere Zeit nicht auf – ein Muster, das auch in Studien wie dem Verizon Data Breach Investigations Report und Berichten der EU-Agentur ENISA als typischer Schwachpunkt genannt wird.
Warum diese Nginx-Traffic-Hijacking-Angriffe schwer zu erkennen sind
Ein entscheidender Faktor ist, dass der Nutzerverkehr trotz Angriff weiterhin das Zielsystem erreicht. Anwender sehen die gewohnte Website und interagieren mit ihr wie ueblich. Dass ihre Anfragen zwischendurch ueber fremde Server laufen, bleibt unsichtbar. Die eigentliche Manipulation – etwa das Einschleusen von JavaScript fuer Phishing oder das Ausliefern manipulierten Inhalts – kann fein granular und kontextabhaengig erfolgen.
Erstens basiert der Angriff ausschließlich auf legitimen Nginx-Funktionen wie Load Balancing und Reverse-Proxying. Fuer viele Monitoring-Loesungen erscheint die Konfiguration als technisch korrektes Setup eines hochverfuegbaren Webservers, nicht als Anomalie.
Zweitens werden weder Applikationscode noch Nginx-Binaries veraendert. Klassische File-Integrity-Monitoring-Loesungen konzentrieren sich oft auf Binärdateien und Anwendungscode, waehrend Konfigurationen eine „blinde Zone“ darstellen. Ohne explizites Konfigurations-Change-Management bleiben solche Aenderungen unentdeckt.
Drittens ist spezialisiertes Netzwerk-Monitoring notwendig, um unuebliche Traffic-Routen zu identifizieren. In den lokalen Nginx-Logs erscheint der Zugriff zunaechst normal. Verdächtige IP-Adressen, Domains oder SSL-Zertifikate tauchen hingegen in der Infrastruktur der Angreifer auf – einem Bereich, auf den Verteidiger keinen direkten Einblick haben.
Sicherheitsmassnahmen fuer Nginx, Baota und Webserver-Infrastrukturen
Die beobachtete Kampagne zeigt, wie schnell ein legitimer Webserver zu einem Instrument fuer verdecktes Traffic-Hijacking werden kann. Organisationen sollten daher mehrere Schutzebenen kombinieren, um Nginx und Hosting-Panels wie Baota abzusichern.
1. Integritaetskontrolle fuer Konfigurationen einführen. Konfigurationsdateien von Nginx und Verwaltungsoberflächen sollten versioniert, automatisiert mit Referenzkopien verglichen und bei jeder Aenderung protokolliert werden. Git-basierte Workflows, CI/CD-Pipelines und Datei-Integritaetstools helfen, unerwartete Direktiven sofort zu erkennen.
2. Administrative Zugriffe strikt minimieren und segmentieren. Nur wenige, klar definierte Konten duerfen Nginx- oder Baota-Konfigurationen bearbeiten. Mehrfaktor-Authentifizierung, dedizierte Admin-Netzsegmente und die strikte Trennung von Verwaltungs- und Frontend-Zugriff erhoehen die Huerde fuer Angreifer erheblich.
3. Schwachstellenmanagement konsequent betreiben. Relevante Advisories zu React2Shell, Nginx-Modulen und Hosting-Panels sollten kontinuierlich verfolgt werden. Zeitnahes Patchen und das Entfernen nicht benutzter Komponenten reduzieren die Angriffsoberflaeche deutlich – ein Aspekt, der laut Branchenreports zu den effektivsten, aber oft vernachlässigten Massnahmen zaehlt.
4. Vertieftes Netzwerk- und Proxy-Monitoring nutzen. Security-Teams sollten erwartete und tatsaechliche Proxy-Routen regelmaessig vergleichen, TLS-Zertifikate und DNS-Resolving ueberwachen und unerwartete externe IP-Adressen oder Domains in der Traffic-Kette untersuchen. Netzwerkforensik und Flow-Analysen koennen hier fruehe Indikatoren liefern.
5. Spezialisierte Schutzloesungen fuer Webserver einsetzen. Web Application Firewalls (WAF), IDS/IPS-Systeme und verhaltensbasierte Traffic-Analysen sind in der Lage, untypische Muster zu erkennen, etwa selektives Umleiten bestimmter Pfade oder auffällige Antwortmuster bei scheinbar normalem HTTP-Traffic.
Wer Nginx, Baota oder aehnliche Komponenten in produktiven Umgebungen betreibt, sollte Konfigurationssicherheit als zentralen Teil seiner Cybersecurity-Strategie betrachten. Regelmaessige Audits, strenge Zugriffsmodelle, konsequentes Patch-Management und tiefgreifendes Monitoring erschweren Angreifern die heimliche Uebernahme des Datenverkehrs erheblich. Es lohnt sich, bestehende Webserver-Setups aktiv zu ueberpruefen, Sicherheitsluecken wie React2Shell gezielt zu schliessen und Konfigurationsaenderungen nicht mehr als rein operative Routine, sondern als sicherheitskritisches Ereignis zu behandeln.
