Web Traffic Hijacking Campaign Targets NGINX Installations

Cybersecurity-Forscher haben Details zu einer aktiven Kampagne veröffentlicht, die darauf abzielt, Webverkehr von NGINX-Installationen und Management-Panels wie Baota (BT) umzuleiten. Diese Angriffe nutzen bösartige NGINX-Konfigurationen, um den Datenverkehr durch die Infrastruktur der Angreifer zu leiten.

Datadog Security Labs berichtete, dass die Bedrohungsakteure mit der kürzlich entdeckten Exploitation von React2Shell (CVE-2025-55182, CVSS-Score: 10.0) in Verbindung stehen. Diese Sicherheitsanfälligkeit ermöglicht es Angreifern, die Kontrolle über betroffene Systeme zu übernehmen und sie für ihre Zwecke zu missbrauchen.

Die Angreifer nutzen spezifische Konfigurationen, um legitimen Webverkehr abzufangen und umzuleiten. Dies geschieht häufig durch das Manipulieren von NGINX-Servern, die in vielen Webanwendungen als Reverse-Proxy fungieren. Die Forscher warnen, dass diese Technik es Angreifern ermöglicht, Daten zu stehlen oder Benutzer auf schädliche Websites umzuleiten.

Die Sicherheitsforscher haben festgestellt, dass die Angriffe in mehreren Regionen weltweit stattfinden, wobei die meisten betroffenen Systeme in Nordamerika und Europa lokalisiert sind. Die Angreifer scheinen gezielt nach schlecht konfigurierten NGINX-Installationen zu suchen, die anfällig für diese Art von Angriff sind.

Die Verwendung von NGINX ist in der Webentwicklung weit verbreitet, was die Auswirkungen solcher Angriffe erheblich verstärken kann. Laut einer aktuellen Umfrage nutzen über 30 % der Websites weltweit NGINX als Webserver, was die Dringlichkeit der Sicherheitsmaßnahmen unterstreicht.

Die Forscher empfehlen, dass Administratoren ihre NGINX-Konfigurationen regelmäßig überprüfen und sicherstellen, dass alle Sicherheitsupdates zeitnah angewendet werden. Zudem sollten sie sicherstellen, dass nur autorisierte Benutzer Zugriff auf Management-Panels haben, um das Risiko eines Angriffs zu minimieren.

Die Entdeckung dieser Angriffe kommt zu einem Zeitpunkt, an dem Cybersecurity-Bedrohungen weltweit zunehmen. Laut dem Cybersecurity-Report 2025 gab es einen Anstieg von 40 % bei den gemeldeten Sicherheitsvorfällen im Vergleich zum Vorjahr.

Die Forscher von Datadog Security Labs haben auch darauf hingewiesen, dass die Angreifer zunehmend automatisierte Tools verwenden, um Schwachstellen in Webservern zu identifizieren und auszunutzen. Dies macht es für Unternehmen schwieriger, sich gegen solche Angriffe zu verteidigen.

Die Sicherheitsgemeinschaft wird aufgefordert, wachsam zu bleiben und proaktive Maßnahmen zu ergreifen, um ihre Systeme zu schützen. Die Implementierung von Intrusion Detection Systems (IDS) und regelmäßige Sicherheitsüberprüfungen sind einige der empfohlenen Strategien.

Die Bedrohung durch Webverkehrs-Hijacking ist nicht neu, jedoch zeigt die aktuelle Kampagne, dass Angreifer immer raffinierter werden. Die Kombination aus hochriskanten Sicherheitsanfälligkeiten und der weit verbreiteten Nutzung von NGINX macht diese Angriffe besonders gefährlich.

Die Forscher haben auch betont, dass die Sensibilisierung für Cybersecurity-Themen in Unternehmen entscheidend ist. Schulungen für Mitarbeiter können dazu beitragen, das Risiko menschlicher Fehler zu verringern, die oft zu Sicherheitsvorfällen führen.

Die Sicherheitslücke CVE-2025-55182 wurde als kritisch eingestuft und betrifft eine Vielzahl von Anwendungen, die auf React basieren. Unternehmen, die diese Technologien verwenden, sollten sofortige Maßnahmen ergreifen, um ihre Systeme zu sichern.

Die aktuelle Kampagne verdeutlicht die Notwendigkeit, Sicherheitspraktiken kontinuierlich zu verbessern und anzupassen. Die Forscher raten dazu, Sicherheitsrichtlinien regelmäßig zu überprüfen und anzupassen, um neuen Bedrohungen gerecht zu werden.

Die Angreifer haben in der Vergangenheit gezeigt, dass sie in der Lage sind, ihre Taktiken schnell zu ändern, um Sicherheitsmaßnahmen zu umgehen. Daher ist es für Unternehmen unerlässlich, flexibel zu bleiben und sich an die sich ständig ändernde Bedrohungslandschaft anzupassen.

Die Sicherheitsforschung wird weiterhin eine Schlüsselrolle bei der Identifizierung und Bekämpfung solcher Bedrohungen spielen. Die Zusammenarbeit zwischen Unternehmen und Sicherheitsforschern ist entscheidend, um effektive Lösungen zu entwickeln und die Cybersecurity insgesamt zu stärken.

Die Forscher von Datadog Security Labs haben ihre Erkenntnisse in einem aktuellen Bericht veröffentlicht, der am 1. Februar 2026 veröffentlicht wurde. Dieser Bericht enthält detaillierte Informationen über die Angriffe und Empfehlungen zur Verbesserung der Sicherheit von NGINX-Installationen.