Allerta NGINX: traffico web dirottato tramite file di configurazione

Una campagna malevola sta compromettendo installazioni NGINX con l'obiettivo di intercettare e reindirizzare il traffico degli utenti, facendolo transitare attraverso infrastrutture controllate dagli attaccanti. Il problema emerge da un'analisi dei ricercatori di Datadog Security Labs: non si parla di un exploit contro NGINX, ma di manomissioni dirette dei file di configurazione, un approccio che può risultare meno evidente perché sfrutta meccanismi legittimi del reverse proxy.

Secondo quanto riportato, i bersagli includono installazioni NGINX e ambienti che usano il pannello di gestione hosting Baota (BT), con un focus su domini con diversi TLD asiatici (tra cui .in, .id, .bd e .th) e anche siti legati a settori governativi ed educativi (domini .gov e .edu).

La tecnica di base consiste nell'iniezione di blocchi "location" malevoli nelle configurazioni esistenti: le regole catturano richieste su percorsi URL selezionati dagli aggressori, riscrivono l'URL completo e inoltrano poi il traffico verso domini sotto il loro controllo tramite la direttiva "proxy_pass", che viene normalmente impiegata per il bilanciamento e l'instradamento verso backend alternativi, e proprio questa natura "legittima" contribuisce a rendere l'abuso meno evidente sul piano degli alert.

Per mantenere il comportamento del sito il più possibile invariato, vengono anche preservati header tipici delle richieste HTTP come Host, X-Real-IP, User-Agent e Referer, così da far apparire il traffico coerente con quello originale e ridurre la probabilità di malfunzionamenti lato applicazione.

L'operazione sarebbe supportata da un toolkit automatizzato a più stadi, con una catena di script che scaricano ed eseguono componenti successivi, puntano prima alle configurazioni gestite da Baota e poi si estendono a directory comuni di NGINX (come sites-enabled, conf.d e sites-available), includendo controlli per evitare di corrompere i file e validazioni con "nginx -t" prima del reload.

Una fase finale si occupa della ricognizione: gli script scansionano le configurazioni compromesse per costruire una mappa dei domini dirottati, dei template di iniezione e dei target di proxying, con successiva esfiltrazione verso un server di comando e controllo indicato nell'articolo.

Il punto critico è che la campagna non dipende da una falla specifica di NGINX: il dirottamento viene nascosto in configurazioni che spesso non vengono revisionate con la stessa frequenza di patch e vulnerabilità, e il traffico può continuare a raggiungere la destinazione prevista, rendendo l'anomalia difficile da notare senza monitoraggi mirati.

Datadog, sempre secondo quanto riportato, raccomanda di verificare le configurazioni NGINX alla ricerca di regole di proxying non autorizzate, logiche di rewrite inattese e destinazioni backend sospette, con attenzione particolare agli ambienti dove pannelli come Baota sono diffusi.