![[Externer Link] Webseite - Autonome Provinz Bozen - Südtirol](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Böswillige Akteure nutzen die React2Shell-Schwachstelle aus, um den Webverkehr über kompromittierte NGINX-Server abzufangen
Sicherheitsforscher haben eine aktive Kampagne zum Hijacking von Web-Traffic aufgedeckt, die die als React2Shell(CVE-2025-55182, Schweregrad 10.0) bekannte kritische Sicherheitslücke in React Server Components und zugehörigen Frameworks wie Next.js ausnutzt . Die Schwachstelle ermöglicht die Ausführung von beliebigem Code auf anfälligen Servern ohne Authentifizierung.
Laut Datadog Security Labs zielen die Angreifer speziell auf NGINX-Installationen und Management-Panels wie Baota (BT) ab und nutzen den über React2Shell erlangten Zugang, um bösartige Konfigurationen in NGINX-Dateien einzufügen. Diese Änderungen ermöglichen es, legitimen Webverkehr abzufangen und auf Server unter der Kontrolle des Angreifers umzuleiten.
Das von den Angreifern verwendete Toolkit verwendet automatisierte Shell-Skripte, die nach gängigen NGINX-Konfigurationspfaden suchen und Konfigurationsdateien mit bösartigen proxy_pass-Direktiven erzeugen. In der Praxis wird der eingehende Datenverkehr zu bestimmten URLs abgefangen und an von den Kriminellen kontrollierte Domänen weitergeleitet, was die Verbreitung von Phishing-Inhalten, Malware oder das Abfangen von Websitzungsdaten ermöglichen kann.
Diese Aktivitäten wurden hauptsächlich bei Top-Level-Domains(TLDs) beobachtet, die mit Organisationen in Asien (.in, .id, .pe, .bd, .th), Hosting-Infrastrukturen in China und institutionellen Domains wie .gov und .edu verbunden sind.
Die Kampagne stellt eine bedeutende Entwicklung in der Art und Weise dar, wie React2Shell ausgenutzt wird: Von anfänglichen Anwendungen, die auf die Installation von Cryptominern oder Reverse Shells ausgerichtet waren, konzentrieren sich die Angreifer nun auf Man-in-the-Middle-Taktiken im Webverkehr.
Sicherheitsempfehlungen
- Installieren Sie sofort Patches und Updates für alle React/Next.js-Komponenten, die für React2Shell anfällig sind.
- Überwachen Sie die Integrität der NGINX-Konfigurationen und prüfen Sie, ob nicht autorisierte Änderungen an den Konfigurationsdateien vorgenommen wurden.
- Überwachung des Netzwerkverkehrs auf Umleitungen oder Routing-Anomalien zu verdächtigen Domains.
- Isolieren und analysieren Sie kompromittierte Server, stellen Sie sichere Konfigurationen wieder her und entfernen Sie hartnäckige bösartige Skripte.
SOC
Andere Pressemitteilungen dieser Kategorie
- Neue ClickFix-Kampagne nutzt Social Engineering zur Verbreitung von Malware über irreführende Eingabeaufforderungen (19.02.2026, 23:00)
- Microsoft behebt eine schwerwiegende Sicherheitslücke in Windows Admin Center, die eine Erhöhung der Berechtigungen ermöglicht (19.02.2026, 23:00)
- Staatlich unterstützte Cyber-Spionagegruppe kompromittiert Regierungsnetzwerke und kritische Infrastrukturen in 37 Ländern (05.02.2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)