O sequestro de tráfego em servidores NGINX está no centro de uma campanha sofisticada que vem preocupando administradores de sistemas e profissionais de segurança. Pesquisadores identificaram ataques que combinam configurações maliciosas do NGINX com a exploração da vulnerabilidade crítica CVE-2025-55182, conhecida como React2Shell. O resultado é um comprometimento silencioso da infraestrutura web, no qual visitantes legítimos podem ser redirecionados para destinos controlados por criminosos.
O problema afeta principalmente ambientes Linux expostos à internet, especialmente aqueles gerenciados pelo Baota (BT Panel) ou por outras interfaces administrativas com permissões amplas. Como o servidor continua operando normalmente, muitos administradores só percebem o incidente quando danos já foram causados, incluindo perda de reputação, queda no ranqueamento e risco para dados dos usuários.
A severidade da CVE-2025-55182 torna essa campanha ainda mais perigosa, pois permite que invasores obtenham acesso inicial ao sistema e alterem diretamente as configurações do servidor web. Na prática, uma única falha pode transformar o NGINX em um proxy clandestino operado por terceiros.
Como funciona o sequestro de tráfego em servidores NGINX via proxy_pass
O ataque gira em torno do uso indevido da diretiva proxy_pass, um recurso legítimo do NGINX utilizado para encaminhar requisições a outros serviços. Após invadir o servidor, os criminosos inserem regras discretas nos arquivos de configuração para redirecionar o tráfego sem interromper o funcionamento do site.
Esses redirecionamentos raramente são totais. Muitas vezes, apenas parte dos visitantes é afetada, como usuários vindos de mecanismos de busca, bots ou pessoas localizadas em regiões específicas. Essa estratégia reduz as chances de detecção rápida.
Outro fator crítico é a sutileza das alterações. Não há, necessariamente, mensagens de erro, lentidão extrema ou indisponibilidade. O site aparenta estar saudável enquanto opera como intermediário para atividades maliciosas, que podem incluir phishing, distribuição de malware e fraude publicitária.
Esse tipo de sequestro de tráfego em servidores NGINX pode permanecer ativo por longos períodos, gerando lucro para os atacantes enquanto compromete a confiança digital da organização afetada.
O papel da vulnerabilidade React2Shell
A React2Shell (CVE-2025-55182) é frequentemente utilizada como porta de entrada para esse ataque. Trata-se de uma falha crítica que possibilita execução remota de comandos quando aplicações React são implantadas com integrações inseguras ou controles de acesso inadequados.
Após explorar a vulnerabilidade, o invasor pode navegar pelo sistema de arquivos e modificar diretórios sensíveis, incluindo o /etc/nginx/. Com isso, o foco deixa de ser apenas a aplicação vulnerável e passa a ser toda a camada de infraestrutura.
Essa conexão entre a CVE-2025-55182 e o sequestro de tráfego em servidores NGINX amplia significativamente o impacto do ataque. Um único projeto web comprometido pode colocar múltiplos domínios em risco, principalmente em ambientes de hospedagem compartilhada.
Anatomia do kit de ferramentas: os scripts maliciosos
Depois do acesso inicial, entra em cena um kit automatizado formado por scripts em shell (.sh) que garantem persistência e facilitam a manipulação do servidor. Entre os arquivos mais observados estão zx.sh, bt.sh, 4zdh.sh, zdh.sh e ok.sh.
O zx.sh geralmente executa uma varredura no ambiente para identificar permissões, versão do sistema e localização do NGINX. Esse reconhecimento ajuda os atacantes a adaptar o restante da operação.
O script bt.sh costuma focar em servidores que utilizam o Baota Panel, aproveitando estruturas conhecidas do painel para manter acesso contínuo, mesmo após reinicializações.
Já 4zdh.sh e zdh.sh atuam diretamente nos arquivos de configuração, inserindo regras de proxy_pass e criando mecanismos de camuflagem. Em alguns casos, versões aparentemente legítimas dos arquivos são mantidas para dificultar auditorias.
Por fim, o ok.sh funciona como um watchdog do ataque. Caso um administrador remova as alterações, o script pode restaurar automaticamente as configurações maliciosas.
O grau de organização desse kit indica uma operação estruturada, voltada para escala e difícil de erradicar sem uma análise profunda do ambiente.
Impacto global e alvos preferenciais do sequestro de tráfego em servidores NGINX
Embora a campanha seja global, pesquisadores observaram maior incidência em TLDs asiáticos, como .cn, .jp e .kr, além de portais governamentais e educacionais. Parte da infraestrutura utilizada para redirecionamento também está associada a provedores de hospedagem localizados na Ásia.
Isso não significa que outros mercados estejam protegidos. Qualquer organização que utilize NGINX com configurações expostas ou aplicações vulneráveis pode ser atingida.
Os impactos vão além da segurança. Quando um domínio passa a redirecionar usuários para conteúdos suspeitos, mecanismos de busca podem aplicar penalizações. Para empresas digitais, isso pode representar queda brusca de tráfego orgânico e perda de receita.
Como se proteger e monitorar seu servidor
A mitigação começa pela correção imediata da CVE-2025-55182 e pela atualização de todas as aplicações web. Ambientes baseados em React devem ser revisados com atenção especial para permissões, integrações e isolamento de serviços.
Também é fundamental auditar os arquivos do NGINX regularmente. Procure por diretivas proxy_pass desconhecidas, inclusões inesperadas e alterações recentes sem justificativa operacional.
O monitoramento de logs é outro pilar essencial. Redirecionamentos incomuns, respostas inconsistentes e conexões frequentes com domínios externos podem ser sinais de comprometimento.
Entre as boas práticas mais recomendadas estão:
- Aplicar hardening no sistema operacional
- Restringir permissões de escrita em diretórios críticos
- Utilizar autenticação forte em painéis administrativos
- Implementar ferramentas de detecção de integridade de arquivos
- Segmentar serviços para limitar movimentos laterais
Uma postura proativa reduz drasticamente o risco de sofrer um sequestro de tráfego em servidores NGINX.
Conclusão
A campanha atual demonstra como ataques modernos combinam vulnerabilidades de aplicações com manipulação direta da infraestrutura. A exploração da React2Shell seguida pela alteração das configurações do NGINX cria um cenário no qual o comprometimento pode passar despercebido por muito tempo.
Diante dessa ameaça, revisar configurações, aplicar atualizações e monitorar continuamente o ambiente deixou de ser apenas uma boa prática, tornou-se uma necessidade operacional. Verificar hoje os arquivos e logs do seu servidor pode evitar prejuízos técnicos e financeiros amanhã.
