Giriş
Güvenlik araştırmacıları, NGINX kurulumlarına yönelik aktif bir web trafiği ele geçirme kampanyasını ortaya çıkardı. Bu durum, siber güvenlikte önemli bir tehdit oluşturarak, kullanıcı verilerinin ve web trafiğinin saldırganların eline geçmesine neden olabiliyor.
Saldırı Nasıl Çalışıyor?
Datadog Security Labs, son zamanlarda React2Shell (CVE-2025-55182, CVSS puanı: 10.0) istismarına bağlı tehdit aktörlerinin, saldırıyı gerçekleştirmek için kötü niyetli NGINX yapılandırmaları kullandığını bildirdi. Kötü niyetli yapılandırmalar, kullanıcılar ile web siteleri arasında geçen meşru trafiği keserek, bunu saldırganların kontrolündeki arka uç sunucularına yönlendirmektedir.
Ryan Simon, bu kampanyanın özellikle Asya üst düzey alan adlarını (.in, .id, .pe, .bd, .th), Çin hosting altyapısını (Baota Panel) ve hükümet ile eğitim alanındaki üst düzey alan adlarını (.edu, .gov) hedef aldığını ifade etti.
Etkilenen Sistemler
Saldırı, NGINX’in açık kaynaklı ters proxy ve yük dengeleyici özelliklerini hedef alır. Shell betikleri, NGINX’te kötü niyetli yapılandırmaları yerleştirmek için kullanılmaktadır. Bu yapılandırmalar, önceden belirlenmiş URL yollarındaki gelen talepleri yakalayarak, saldırganların kontrolündeki alanlara yönlendirmeyi amaçlamaktadır.
Malicious Toolkit Bileşenleri
Saldırı, birden fazla aşamadan oluşan bir araç seti içerir. Bu araçlar, kötü niyetli yapılandırma dosyalarının oluşturulmasını sağlar. Aşağıda araç setinin bileşenleri listelenmiştir:
- zx.sh: Diğer aşamaları yürütmek için curl veya wget gibi meşru araçları kullanarak çalıştırıcı işlevi görür. Eğer bu programlar engellenirse, HTTP isteği göndermek için ham TCP bağlantısı oluşturur.
- bt.sh: Baota (BT) Yönetim Paneli ortamını hedef alarak NGINX yapılandırma dosyalarını üzerine yazar.
- 4zdh.sh: Yaygın NGINX yapılandırma yerlerini belirler ve yeni yapılandırma oluştururken hataları en aza indirmek için adımlar atar.
- zdh.sh: Daha dar bir hedefleme yaklaşımı benimsiyerek, esasen Linux veya konteynerleştirilmiş NGINX yapılandırmalarını hedef alır ve .in ve .id gibi üst düzey alan adlarını hedef alır.
- ok.sh: Aktif NGINX trafik ele geçirme kurallarını ayrıntılı bir rapor halinde oluşturur.
Çözüm ve Korunma
Sonuça varan araştırmalar, 193.142.147[.]209 ve 87.121.84[.]24 IP adreslerinin, React2Shell istismarına yönelik gözlemlenen tüm saldırı girişimlerinin %56’sını oluşturduğunu göstermektedir. Kullanıcılar, bu tehditlere karşı aşağıdaki adımları izlemelidir:
- Tüm sistem ve yazılımları, en güncel güvenlik yamanları ile güncelleyin.
- Port kapatma ve firewall ayarlarını gözden geçirerek gereksiz trafiği engelleyin.
- NGINX yapılandırmalarınızı kontrol edin ve kötü niyetli değişikliklere karşı dikkatli olun.
Sonuç olarak, siber güvenlik tehditlerine karşı proaktif bir yaklaşım benimsemek hayati önem taşımaktadır. Herkesin güvenliğini sağlamak için önlem almak ve güncel kalmak elzemdir.
