نفوذ به سرورهای NGINX برای ربایش مخفیانه ترافیک کاربران

کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی یک کارزار مخرب خبر داده‌اند که در آن مهاجمان با نفوذ به سرورهای NGINX، ترافیک واقعی کاربران را بدون ایجاد اختلال یا هشدار امنیتی، از مسیر زیرساخت‌های تحت کنترل خود عبور می‌دهند.

به گزارش کمیته رکن چهارم – بر اساس یافته‌های آزمایشگاه امنیتی DataDog، این حمله با دستکاری فایل‌های پیکربندی NGINX انجام می‌شود و بدون استفاده از آسیب‌پذیری نرم‌افزاری یا اجرای بدافزار، امکان ربایش ترافیک وب را برای مهاجمان فراهم می‌کند.

NGINX یک نرم‌افزار متن‌باز و پرکاربرد برای مدیریت ترافیک وب است که به‌عنوان وب‌سرور، لودبالانسر، کش و Reverse Proxy در میلیون‌ها وب‌سایت استفاده می‌شود. همین جایگاه کلیدی باعث شده تغییر در تنظیمات آن، اثر مستقیمی بر مسیر ترافیک کاربران داشته باشد.

اهداف حمله

طبق گزارش DataDog، این کارزار سرورهای NGINX و به‌ویژه سامانه‌هایی را هدف قرار داده که از پنل مدیریت هاستینگ Baota استفاده می‌کنند. دامنه‌های آسیایی با پسوندهایی مانند .in، .id، .pe، .bd و .th و همچنین وب‌سایت‌های دولتی و آموزشی (.gov و .edu) در میان اهداف اصلی این حملات قرار داشته‌اند.

نحوه ربایش ترافیک

در این حمله، مهاجمان با دسترسی به سرور، فایل‌های پیکربندی NGINX را تغییر می‌دهند و بلوک‌های مخرب location به آن اضافه می‌کنند. این بلوک‌ها درخواست‌های ورودی کاربران را روی مسیرهای مشخص رهگیری کرده و با استفاده از دستور قانونی proxy_pass، ترافیک را به دامنه‌های تحت کنترل مهاجم هدایت می‌کنند.

نکته نگران‌کننده اینجاست که هدرهای HTTP مانند Host، User-Agent، Referer و X-Real-IP بدون تغییر منتقل می‌شوند؛ در نتیجه، ترافیک کاملاً واقعی و قانونی به نظر می‌رسد و هیچ نشانه آشکاری از دستکاری دیده نمی‌شود.

ابزار چندمرحله‌ای مهاجمان

پژوهشگران DataDog یک کیت اسکریپتی پنج‌مرحله‌ای را شناسایی کرده‌اند که برای تزریق تنظیمات مخرب استفاده می‌شود. این اسکریپت‌ها وظایفی مانند شناسایی مسیرهای پیکربندی NGINX، تزریق ایمن تنظیمات، تست صحت کانفیگ با nginx -t، بارگذاری مجدد سرویس بدون قطعی و در نهایت ارسال اطلاعات دامنه‌های آلوده به سرور فرماندهی و کنترل (C2) با آدرس ۱۵۸٫۹۴٫۲۱۰[.]۲۲۷ را انجام می‌دهند.

چرا این حمله به‌سختی شناسایی می‌شود؟

این کارزار از هیچ آسیب‌پذیری شناخته‌شده‌ای در NGINX سوءاستفاده نمی‌کند و بدافزاری نیز اجرا نمی‌شود. تنها تغییر در فایل‌های پیکربندی انجام می‌شود؛ بخشی که معمولاً کمتر از فایل‌های اجرایی یا لاگ‌ها مورد بررسی امنیتی قرار می‌گیرد. از آنجا که ترافیک همچنان به مقصد نهایی می‌رسد، بسیاری از سازمان‌ها متوجه عبور آن از مسیر مهاجم نمی‌شوند.

جمع‌بندی و نکته کاربردی

این حمله نمونه‌ای پیشرفته از ربایش ترافیک (Traffic Hijacking) از طریق سوءاستفاده از قابلیت‌های قانونی NGINX است؛ حمله‌ای بی‌صدا، بدون exploit و بسیار خطرناک، به‌ویژه برای وب‌سایت‌های حساس دولتی و آموزشی.

🔐 توصیه عملی:

سازمان‌ها باید تغییرات فایل‌های پیکربندی NGINX را به‌صورت مداوم مانیتور کنند، دسترسی مدیریتی به سرورها را محدود سازند و مسیرهای proxy و مقصد ترافیک خروجی را به‌طور منظم بررسی کنند؛ زیرا در این نوع حمله، تنها نشانه نفوذ، «تغییر تنظیمات» است.