นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญการจี้เว็บทราฟฟิกที่กำลังดำเนินอยู่ ซึ่งกำหนดเป้าหมายไปที่การติดตั้ง NGINX และแผงควบคุมอย่าง Baota (BT) เพื่อพยายามเปลี่ยนเส้นทางทราฟฟิกผ่านโครงสร้างพื้นฐานของผู้โจมตี แคมเปญนี้เชื่อมโยงกับการใช้ประโยชน์จากช่องโหว่ React2Shell (CVE-2025-55182) ที่มีการให้คะแนน CVSS สูงถึง 10.0 โดยการแทรกการกำหนดค่า NGINX ที่เป็นอันตรายเพื่อสกัดกั้นและเปลี่ยนเส้นทางทราฟฟิกเว็บที่ถูกต้องไปยังเซิร์ฟเวอร์แบ็คเอนด์ที่ผู้โจมตีควบคุม กลุ่มเป้าหมายหลักได้แก่ TLD (Top-Level Domains) ในเอเชีย (.in, .id, .pe, .bd, .th), โครงสร้างพื้นฐานโฮสติ้งของจีน (Baota Panel) รวมถึงโดเมนของรัฐบาลและสถาบันการศึกษา (.edu, .gov)
Severity: วิกฤต
System Impact:
- การติดตั้ง NGINX
- Baota (BT) Management Panels
- เว็บไซต์ที่มี TLDs ในเอเชีย (.in, .id, .pe, .bd, .th)
- โดเมนของรัฐบาล (.gov)
- โดเมนการศึกษา (.edu)
Technical Attack Steps:
- การใช้ประโยชน์จากช่องโหว่ React2Shell (CVE-2025-55182) เพื่อเข้าถึงระบบเป้าหมายเบื้องต้น
- การปรับใช้ชุดเครื่องมือ shell script แบบหลายขั้นตอน โดยมี `zx.sh` เป็นตัวควบคุมการทำงานในขั้นตอนถัดไป
- การฉีดการกำหนดค่าที่เป็นอันตรายเข้าสู่ไฟล์การกำหนดค่าของเซิร์ฟเวอร์ NGINX (เช่น ใช้ `bt.sh` สำหรับ Baota panels) ซึ่งรวมถึงคำสั่ง `proxy_pass`
- การกำหนดค่าที่เป็นอันตรายเหล่านี้จะสกัดกั้นคำขอเว็บที่เข้ามาบนเส้นทาง URL ที่กำหนด
- การเปลี่ยนเส้นทางทราฟฟิกที่ถูกสกัดกั้นไปยังเซิร์ฟเวอร์แบ็คเอนด์ที่ผู้โจมตีควบคุม
- การปรับใช้เพย์โหลดหลังการโจมตี เช่น ไบนารีสำหรับขุดคริปโต หรือการสร้าง reverse shells เพื่อรักษาสิทธิ์การเข้าถึงหรือสร้างรายได้จากการโจมตี
- การใช้ `ok.sh` เพื่อสร้างรายงานรายละเอียดของกฎการจี้เว็บทราฟฟิก NGINX ที่ใช้งานอยู่
Recommendations:
Short Term:
- อัปเดตแพตช์ระบบที่ได้รับผลกระทบจากช่องโหว่ React2Shell (CVE-2025-55182) โดยทันที เพื่อป้องกันการเข้าถึงเบื้องต้น
- ตรวจสอบไฟล์การกำหนดค่า NGINX ทั้งหมดเพื่อหาบล็อก `location` และคำสั่ง `proxy_pass` ที่ไม่ได้รับอนุญาตหรือน่าสงสัย
- นำมาตรการตรวจสอบที่เข้มงวดสำหรับการเปลี่ยนแปลงไฟล์การกำหนดค่า NGINX และการเชื่อมต่อเครือข่ายขาออกที่ผิดปกติจากเว็บเซิร์ฟเวอร์
- รักษาความปลอดภัยของ Baota (BT) Management Panels ด้วยการยืนยันตัวตนที่แข็งแกร่งและอัปเดตแพตช์ความปลอดภัย
Long Term:
- สร้างโปรแกรมการจัดการแพตช์ที่ครอบคลุมสำหรับเว็บเซิร์ฟเวอร์ แผงควบคุม และซอฟต์แวร์ที่เกี่ยวข้องทั้งหมด
- ปรับใช้ Web Application Firewalls (WAFs) เพื่อตรวจจับและบล็อกทราฟฟิกเว็บที่เป็นอันตรายและพยายามโจมตี
- นำหลักการ Zero Trust Security มาใช้สำหรับการเข้าถึงเครือข่ายและการโต้ตอบของแอปพลิเคชัน
- ดำเนินการตรวจสอบความปลอดภัยและการทดสอบเจาะระบบ (Penetration Testing) บนโครงสร้างพื้นฐานเว็บเป็นประจำ
- ปรับปรุงการแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ด้านข้างในกรณีที่มีการละเมิด
- ให้การฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยแก่ผู้ดูแลระบบในการระบุสัญญาณของการบุกรุกและการกระทำที่น่าสงสัย
Source: https://thehackernews.com/2026/02/hackers-exploit-react2shell-to-hijack.html
Share this content: