Pesquisadores de cibersegurança identificaram uma nova campanha de ataques em que cibercriminosos estão comprometendo servidores NGINX para manipular o tráfego web e redirecioná-lo para infraestruturas controladas pelos invasores. A técnica explora uma vulnerabilidade crítica registrada como CVE 2025 55182, já conhecida por permitir execução remota de código. Os atacantes estão explorando essa falha para inserir regras maliciosas nas configurações do NGINX, especialmente em servidores que utilizam painéis como Baota (BT), plataforma de gerenciamento popular em ambientes de hospedagem web na Ásia.
A brecha permite alterar a lógica de roteamento e transformar o servidor em um proxy invisível para ações maliciosas. Uma vez comprometido, o servidor passa a interceptar e redirecionar requisições legítimas de usuários para domínios controlados pelos operadores do ataque. Isso pode ser usado para fins diversos, como coleta de dados, rastreamento de tráfego, phishing ou entrega de malware. A manipulação ocorre por meio da diretiva padrão proxy_pass do NGINX, que é utilizada para criar proxies reversos. Os invasores injetam configurações que redirecionam requisições específicas, como aquelas para login ou páginas de pagamento, para servidores maliciosos sem gerar alertas imediatos.
Os pesquisadores também identificaram o uso de scripts automatizados que detectam o local dos arquivos de configuração e inserem blocos com regras maliciosas. Em muitos casos, essas alterações são aplicadas de forma persistente e continuam ativas mesmo após reinicializações dos serviços. Mesmo após a publicação de correções em dezembro de 2025, milhares de servidores permanecem expostos, especialmente em ambientes que não aplicam atualizações regularmente ou que estão com acesso direto à internet sem camadas adicionais de proteção. O impacto potencial é alto, já que o redirecionamento silencioso de tráfego pode comprometer credenciais, sessões de usuários e dados sensíveis, sem que os administradores percebam a intrusão rapidamente.
