Nginxは、高速・軽量で、大量の同時接続に強いオープンソースのWebサーバソフトウェアです。
Apacheに代わる主流Webサーバとして、静的ファイルの配信、リバースプロキシ、ロードバランサ(負荷分散)として利用され、特に高トラフィックなWebサイトで高い安定性を発揮します。
このさまざまな環境で利用されているNginxの周辺で脅威アクターが活動しています。
いつのまにか見ているコンテンツが変化しているのです。
- 仕込み
脅威アクターは舞台として悪用するWebサイトを選びます。
選ぶ条件は侵害が可能な状態にあるNginxを使用したWebサイトです。
ここで使用される具体的な侵害方法は明らかになっていませんが、CVE-2025-55182(React2Shellと呼ばれている)の脆弱性が悪用されていると考えられています。
脅威アクターはこういった脆弱性の効能でリモートコード実行し、現地のNginxの設定を変化させます。 - Webサイト利用者の訪問
仕込みが完了したWebサイトをそのサイトの利用者が訪問します。
利用者の手元のパソコンなどのデバイスの行った通信は想定通り訪問先のWebサーバに到着します。
ここまではWebサイトの管理者やWebサイトの利用者の想定する通常の動作です。
しかしこの後が異なります。
仕込まれたNginx設定の効果により、通信は攻撃者の用意したシステムに転送されます。
そして元の訪問先のWebサーバが利用者に戻そうとしたコンテンツ内容に脅威アクターが意図する追加の内容を挿入し、元のWebサイト利用者に通信を戻します。
この攻撃の嫌な部分は、Webサイトの利用者の実施している通信が変更される一連の流れの中に、脆弱性の悪用などの行為が行われていないという点です。
通常はリバースプロキシや負荷分散のために使用される機能を勝手に脅威アクターの都合が良いように悪用しているだけで、脆弱性を悪用しているのではないわけです。
脅威アクターの仕込みの段階ではなんらかの脆弱性が悪用されているものなのでしょうが、攻撃の作用している段階では普通の動作となっています。
このため、攻撃の作用時の動きを悪意あるものだと判定することは、容易ではありません。
このような脅威に対応することを考える場合、Webサイトの利用者にできることは多くないように思われます。
Webサイトの管理者の側が安全なサイト運営を実施し、意図しない設定変更を実施されてしまわないようにすることを目指す場合は、できることがありそうです。
作戦はいつも通りです。
Webサイトの管理者が目指すのは、適切な資産管理と適切なパッチケイデンスです。
Web Traffic Hijacking: When Your Nginx Configuration Turns Malicious
https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/
| この記事をシェア |
|
|---|
