Home / Segurança da Informação / Falha crítica no NGINX permite sequestro de tráfego web

Falha crítica no NGINX permite sequestro de tráfego web

Por
Nenhum comentário
9 de fevereiro de 2026 11:30

Pesquisadores de cibersegurança identificaram uma campanha ativa de sequestro de tráfego web que está explorando servidores NGINX e painéis de gerenciamento populares, como o Baota Panel (BT). Esse tipo de ataque permite que hackers interceptem comunicações legítimas entre usuários e sites, redirecionando o tráfego para servidores controlados por eles.

Na prática, isso significa que um usuário pode acessar um site aparentemente normal, mas seus dados estarem passando por um intermediário malicioso, sem qualquer aviso visível.

O que é o sequestro de tráfego web

O sequestro de tráfego web ocorre quando um atacante consegue se posicionar entre o usuário e o servidor legítimo. A partir disso, ele pode:

  • Monitorar requisições e respostas
  • Redirecionar usuários para outros servidores
  • Manipular conteúdos exibidos
  • Coletar dados sensíveis

No caso desta campanha, o ataque não depende de malware no computador da vítima, mas sim da comprometimento direto do servidor web.

Vulnerabilidade React2Shell e sua gravidade

De acordo com o Datadog Security Labs, a campanha está ligada à exploração da vulnerabilidade conhecida como React2Shell, que recebeu a pontuação máxima de severidade (CVSS 10.0).

Essa classificação indica que a falha é:

  • Fácil de explorar
  • Altamente impactante
  • Possível de ser explorada remotamente

Os atacantes utilizam essa vulnerabilidade para injetar configurações maliciosas no NGINX, alterando o comportamento do servidor sem que o administrador perceba imediatamente.

Como os atacantes manipulam o NGINX

Uma vez com acesso ao sistema, os hackers modificam os arquivos de configuração do NGINX. Segundo o pesquisador Ryan Simon, o ataque utiliza diretivas como proxy_pass, que normalmente servem para encaminhar requisições para outros serviços internos.

Nesse cenário malicioso, essa diretiva é usada para:

  • Capturar requisições legítimas
  • Redirecionar tráfego de URLs específicas
  • Enviar dados para servidores controlados pelos atacantes

Tudo isso ocorre de forma transparente para o usuário final.

Quem está sendo mais afetado

A campanha demonstra um foco bem definido, atingindo principalmente:

  • Domínios com TLDs associados à Ásia, como .in, .id, .pe, .bd e .th
  • Infraestruturas de hospedagem localizadas na China
  • Servidores que utilizam o Baota Panel (BT)
  • Sites governamentais (.gov) e educacionais (.edu)

Isso sugere que os atacantes realizam seleção de alvos, em vez de ataques totalmente aleatórios.

Scripts automatizados e ataque em múltiplos estágios

Os pesquisadores identificaram diversos scripts em shell que automatizam o ataque. Esses scripts fazem parte de um toolkit em múltiplos estágios, projetado para facilitar a invasão, garantir persistência e reduzir falhas durante a modificação do NGINX.

Os principais scripts são:

  • zx.sh: coordena todo o ataque, executando os outros scripts e utilizando ferramentas comuns como curl e wget. Caso essas ferramentas estejam bloqueadas, ele tenta conexões diretas via TCP.
  • bt.sh: foca especificamente em servidores que utilizam o Baota Panel, alterando diretamente suas configurações.
  • 4zdh.sh: procura automaticamente pelos arquivos de configuração do NGINX em diferentes locais do sistema.
  • zdh.sh: versão mais restrita do ataque, voltada para ambientes Linux e containers, com foco em alguns domínios específicos.
  • ok.sh: gera relatórios que mostram todas as regras de sequestro de tráfego ativas no servidor comprometido.

Essa automação indica que o ataque foi planejado para escalar rapidamente.

Como os atacantes conseguem o acesso inicial

Apesar de ainda não haver atribuição definitiva sobre quem está por trás da campanha, os pesquisadores avaliam, com confiança moderada, que o acesso inicial ocorre por meio da exploração do React2Shell.

Além disso, o toolkit inclui funções de:

  • Descoberta automática de alvos
  • Persistência no sistema comprometido
  • Monitoramento das regras maliciosas implantadas

Esses elementos reforçam que se trata de uma operação estruturada e contínua.

Crescimento das tentativas de exploração

Dados da GreyNoise mostram que a exploração do React2Shell continuou crescendo mesmo semanas após sua divulgação pública. Apenas dois endereços IP foram responsáveis por 56% das tentativas de ataque observadas.

Entre janeiro e fevereiro de 2026, mais de 1.080 IPs únicos participaram dessas atividades. Após a exploração inicial, os atacantes demonstraram interesse em:

  • Acesso interativo aos sistemas
  • Execução de reverse shells
  • Instalação de cryptominers em alguns casos

Conclusão

O cenário analisado demonstra que não se trata de ataques oportunistas, mas de campanhas estruturadas, com automação, persistência e seleção cuidadosa de alvos. A exploração do React2Shell, aliada ao uso de toolkits em múltiplos estágios, reforça a necessidade de uma postura de segurança proativa, especialmente em servidores expostos à internet e painéis de gerenciamento web.

Marcado:
Camila Figueiredo

Sign Up For Daily Newsletter

Stay updated with our weekly newsletter. Subscribe now to never miss an update!

Related Posts

Notepad++ sofre ataque avançado via sistema de atualização
5 de fevereiro de 2026
Chrome: extensões maliciosas sequestram contas corporativas
27 de janeiro de 2026
Vulnerabilidade crítica esquecida por uma década ameaça servidore ...
26 de janeiro de 2026

Deixe um Comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *