Célkeresztbe kerültek az Nginx szerverek

Egy támadássorozat részeként egyre több Nginx szerver esik áldozatául a kiberbűnözőknek.
 

Ezúttal a széles körben használt Nginx keltette fel egyes feketekalapos hackerek érdeklődését, akik olyan manipulációkat hajtanak végre, amiknek következtében az érintett weboldalak esetében kártékony átirányítások történnek.

A jelenségre a DataDog Security Labs hívta fel a figyelmet, amelynek biztonsági kutatói alaposan szemügyre vették ezen támadásokat. Megállapították, hogy a károkozások során az elkövetők Nginx szerverekhez szereznek jogosulatlan hozzáférést, majd a webszerverek konfigurációs állományait manipulálják. Ennek részeként az egyik konfigurációs fájlba egy "location" blokkot szúrnak be, amely a támadók által megadott URL-t érintő adatforgalomra terjed ki. Ezt követően egy URL-átírás történik, amelynek során az elkövetők saját webszerverére terelődik át a forgalom. (Az átirányítás a proxy_pass direktíva segítségével valósul meg, miközben az olyan fejlécadatok, mint amilyen például a 'Host' az 'X-Real-IP', a 'User-Agent' és a 'Referer' érintetlenek maradnak.) 

A biztonsági elemzők szerint a szóban forgó támadások azért is nehezen kezelhetők, mert az Nginx alapvető, mindennapokban használt funkcióival élnek vissza. A megfigyelések szerint ezek az alvilági akciók jelenleg többnyire Ázsiában okoznak problémákat .in, .id, .pe, .bd és .th domainek esetében. Ugyanakkor számolni kell azzal az eshetőséggel, hogy e támadások egyre szélesebb körűvé válnak, amit az is alátámaszt, hogy már egyes kormányzati és oktatási rendszert kiszolgáló szerver, illetve weboldal is áldozattá vált (.edu és .gov domainek alatt).