A nagy NGINX-átverés: titokban eltérített szerverek
Egy új, kifinomult támadássorozatban hackerek sikeresen kompromittálnak NGINX-szervereket, hogy a felhasználói forgalmat titokban a saját háttér-infrastruktúrájukra irányítsák át. Az NGINX egy népszerű, nyílt forráskódú webszerver-kezelő szoftver, amelyet terheléselosztásra, gyorsítótárazásra, valamint proxyfeladatokra is széles körben használnak.
A támadás célpontjai és működése
A DataDog Security Labs kutatói által felfedezett kampány főként ázsiai végződésű domaineken (.in, .id, .pe, .bd, .th), valamint kormányzati és oktatási oldalakon (.edu, .gov) működő NGINX-konfigurációkat, illetve a Baota menedzsmentpanellel rendelkező szervereket célozza meg. A támadók meglévő NGINX-konfigurációs fájlokat módosítanak: rosszindulatú „location” blokkokat fecskendeznek be, amelyek a kiválasztott URL-eken keresztül érkező kéréseket elkapják, majd az eredeti URL-t újraírják, és a „proxy_pass” direktívával a saját, a támadók által kezelt domainekre irányítják tovább. Eközben a forgalom látszólag érintetlen marad, hiszen az olyan fejlécadatok, mint a Host, X-Real-IP, User-Agent és Referer is megmaradnak, ezzel legitimnek tűnik az adatforgalom.
Ötlépcsős támadó eszközkészlet
A támadássorozat egy ötlépcsős, szkripteket használó eszközkészlettel megy végbe. Az első lépés egy irányító szkript (zx.sh), amely letölti és futtatja a többi lépcsőt; ha nincs curl vagy wget, akkor nyers HTTP-kérést küld TCP-n keresztül. A második szkript (bt.sh) a Baota-paneles NGINX-fájlokat célozza, dinamikusan választ injektálási sablont, és újratölti az NGINX-et a leállás elkerülésére. A harmadik lépés (4zdh.sh) a leggyakoribb konfigurációs elérési útvonalakat pásztázza a rendszer meghibásodásának elkerülésére, és csak akkor tölti újra a szolgáltatást, ha a módosítás hibátlan. A negyedik szkript (zdh.sh) főként a /etc/nginx/sites-enabled könyvtárat és .in, .id domaineket céloz, szükség esetén kényszerített újraindítást végez az NGINX-en. Az ötödik lépés (ok.sh) összerendeli a megszerzett domaineket és sablonokat, majd mindent egy C2-szerverre (158.94.210.227) küld.
A támadás nem az NGINX egy sebezhetőségét használja ki, hanem elrejtett utasításokkal módosítja a konfigurációs fájlokat. Ezért a szerverüzemeltetők gyakran észre sem veszik a történteket, hiszen a forgalom többsége akadálytalanul eljut a valódi célhoz – a csaló infrastruktúrán való áthaladást így alig lehet észrevenni, ha nincs speciális forgalomelemzés.
Fagyos levegő lepte el az Egyesült Államok keleti részét, Florida partjainál pedig különleges, szemet gyönyörködtető felhősávok rajzolódtak ki a műholdképeken...
📶 A Qualcomm történelmi, 12,3 milliárd dolláros (kb. 4 375 milliárd forintos) negyedéves bevétellel zárt, főleg a prémium okostelefonoknak és az egyre népszerűbb okosszemüvegeknek, autóipari és IoT-termékeknek köszönhetően...
Érdekes felvetés, hogy még az Egyesült Államok Szövetségi Nyomozó Irodája (FBI) is kudarcot vallhat, ha egy újságíró iPhone-ját próbálja feltörni, köszönhetően az Apple által fejlesztett Lockdown módnak...
💉 Több mint 8 millió amerikai szed alvadásgátlót veszélyes vérrögök megelőzésére. Ennek ellenére ezek a gyógyszerek évente több százezer, komoly vérzéssel végződő esetért felelősek...
🔥 A március izgalmas újdonságokat hoz a Pixel telefonokra. Az Android 16 QPR3 nagy platformfrissítése hamarosan elérhető lesz, ráadásul ezúttal nem csupán apró biztonsági javításokra, hanem valóban látványos, a napi használatot érintő változásokra számíthatnak a felhasználók...
🧠 A tüdőrák évtizedek óta csak a kontrollt vesztett sejtosztódás hibájaként szerepelt az orvosi gondolkodásban, de friss kutatások feltárták: a daganatok aktívan kommunikálnak az aggyal, hogy kijátsszák az immunrendszert...
Októberben súlyos biztonsági résen keresztül szivárogtak ki a Substack-felhasználóinak e-mail-címei és telefonszámai, ám a vállalat csak február elején észlelte az incidenst...
A 81 éves Barry Manilow sikeres műtét után kiválóan érzi magát, de orvosa tanácsára átszervezi közelgő Las Vegas-i koncertjeit, hogy maradéktalanul a felépülésre és az év eleji turnéjára tudjon koncentrálni...
💰 A Sodola SL-SWTGW2C48NS 12 portos 10GbE switch első ránézésre feltűnően olcsó, hiszen mindössze 84 000 forintért (230 USD) kínálják, sőt, egyes akciókkal akár 77 000 forintért is beszerezhető...
Az Alphabet vezetői egyetlen szóval sem válaszoltak arra a befektetői kérdésre, miként hat a Google és az Apple közötti MI-megállapodás a cég jövőjére...
Egy lényeges szempont, hogy az MI integrációjával a cégek nemcsak technológiai kihívásokkal szembesülnek, hanem a csapaton belüli bizalom és együttműködés terén is jelentős változások jöhetnek...
Jellemző példa erre, hogy az amerikai törvényhozás első lépésként rábólintott arra, hogy a kereskedelmi űripar nagyobb szerepet kapjon a mélyűri küldetésekben...
🚨 A Microsoft kénytelen volt villámgyorsan kiadni egy sürgős frissítést az Office-hoz, miután orosz állami hackerek kompromittálták több ország diplomáciai, tengeri és közlekedési szervezeteinek eszközeit...
🛑 Az Anthropic szerdán bejelentette, hogy MI-chatbotja, Claude teljesen reklámmentes marad. Ezzel éles határvonalat húz saját szolgáltatása és az OpenAI közé, amely nemrég az olcsóbb ChatGPT Go csomagban kezdett hirdetésekkel kísérletezni...
Egy digitális behatoló villámgyorsan, kevesebb mint 10 perc alatt szerzett adminisztrátori jogosultságot egy AWS-környezetben, hála a nagy nyelvi modellek (LLM) automatizálásának...
🗡 A Bhutáni Királyi Kormány több mint 184 bitcoint, vagyis mintegy 5,1 milliárd forintot mozgatott át kereskedő cégekhez és tőzsdékre, amikor a BTC ára 71 000 dollár (kb...
🚨 Az n8n nevű, népszerű, nyílt forráskódú, automatizált munkafolyamat-platformban több kritikus biztonsági hibát találtak, amelyek lehetővé teszik a támadók számára, hogy kikerüljék a biztonsági korlátokat és átvegyék az irányítást a kiszolgáló felett...
A szenátusi meghallgatáson a Waymo és a Tesla vezetői nyomatékosan kérték a törvényhozókat, hogy mielőbb alkossanak jogszabályokat az önvezető járművek szabályozására, különben könnyen lehet, hogy Kína beelőzi az Egyesült Államokat a technológiai versenyben...
🔑 Ausztrália Északi Területe alatt a kutatók egy eddig ismeretlen, Ausztrália alakját idéző mágneses anomáliát találtak, amely új fejezetet nyithat a kontinens geológiai történetének feltárásában...
Amerikai kormányzati szerveket szoros határidővel kötelezték, hogy frissítsék SolarWinds Web Help Desk-rendszereiket, miután támadók egy kritikus sebezhetőséget kihasználni kezdtek...
👀 A Swarovski NL Pure 8×32 kétségtelenül a távcsővilág egyik csúcsmodellje: kristálytiszta képminőség, könnyű, kompakt kialakítás és annyira élethű látvány, hogy szinte 8K videót néznél rajta...
A közelgő Galaxy S26 sorozatról eddig több pletyka keringett, hogy beépített mágneseket kaphat, amelyek támogatnák a mágnesesen rögzíthető kiegészítőket és a fejlett MPP-s töltőket...
