Hacker arriving in hidden underground shelter, prepared to launch DDoS attack on websites. Cybercriminal in apartment starting work on script that can crash businesses servers, camera B

Les acteurs malveillants détournent le trafic Web après avoir exploité la vulnérabilité React2Shell : rapport

Lucas Morel

Les chercheurs de Datadog Security affirment que les pirates informatiques se tournent vers les serveurs Web NGINX.

Les acteurs malveillants qui exploitent la vulnérabilité React2Shell dans les composants des serveurs React utilisent leur accès pour compromettre les domaines Web et détourner le trafic Web à des fins malveillantes.

C’est la conclusion des chercheurs de Datadog Security Labs, qui ont déclaré mercredi dans un blog que les principales cibles sont les sites exécutant le serveur Web open source NGINX géré avec Boato Panel. Il s’agit notamment d’organisations asiatiques dont les domaines de premier niveau se terminent par .in, .id, .pe, .bd, .edu, .gov et .th, ainsi que d’infrastructures d’hébergement chinoises.

Le danger, a déclaré l’auteur du blog Ryan Simon, chercheur principal en sécurité chez Datadog Security Labs, est qu’un pirate informatique puisse utiliser un site compromis pour faire un certain nombre de choses désagréables telles que prendre des empreintes digitales du trafic Web d’une organisation, insérer des logiciels malveillants sur les ordinateurs des utilisateurs ou détourner le trafic vers une page de destination contrôlée par un acteur malveillant qui tente d’inciter les utilisateurs à renoncer à leurs informations de connexion.

Ces deux dernières tactiques finissent également par nuire à la réputation d’un site Web, a ajouté Simon, si la rumeur circule que le site héberge des logiciels malveillants.

NGINX est un « élément fondamental de l’infrastructure Web contemporaine », note le blog Datadog. Le routage et le traitement du trafic par NGINX sont régis par ses fichiers de configuration. Une mauvaise configuration ou une violation réussie permettent de l’utiliser pour le détournement du trafic Web.

React2Shell est l’exploitation d’une vulnérabilité (CVE-2025-55182) dans la bibliothèque React 19 pour la création d’interfaces d’application découverte à la fin de l’année dernière. Cette faille permet aux attaquants d’exécuter du code arbitraire sur les serveurs concernés.

Contenu connexe : Anatomie de React2Shell

Les chercheurs de Greynoise ont déclaré cette semaine que les activités d’exploitation ciblant les composants du serveur React s’étaient considérablement consolidées. Deux adresses IP représentent désormais 56 % de toutes les tentatives d’exploitation observées, contre 1 083 sources uniques précédemment.

Les versions non corrigées de React risquent d’être compromises.

Abus initial

« Ce que nous avons constaté dès le début dans bon nombre de nos pots de miel et de nos renseignements sur les menaces avec React2Shell, c’est que les attaquants l’utilisaient pour le cryptomining », a déclaré Simon. D’autres ont vu l’exploitation utilisée pour déployer des obus inversés. Mais plus récemment, a déclaré Simon, Datadog Security a constaté que des acteurs malveillants, une fois dans un réseau informatique, s’en prennent aux serveurs Web pour détourner leur trafic.

Une analyse des scripts utilisés par les acteurs malveillants sur les serveurs Web NGINX compromis montre qu’ils utilisent une approche automatisée en plusieurs étapes pour attaquer les environnements. Les kits d’outils contiennent la découverte de cibles ainsi que plusieurs scripts conçus pour établir la persistance et pour la création de fichiers de configuration malveillants contenant des instructions destinées à rediriger le trafic Web, indique le blog Datadog.

Il n’y a aucun point commun entre les organisations ciblées, a noté Simon.

Le détournement du trafic Web est une vieille tactique des acteurs malveillants. En fait, David Shipley, responsable du fournisseur canadien de formation en sensibilisation à la sécurité Beauceron Security, a qualifié ces attaques contre les serveurs NGINX de « retour au piratage à l’ancienne à l’ère des contrôles d’identité plus stricts comme les gestionnaires de mots de passe, l’authentification multifacteur et les mots de passe ».

« Si vous êtes confronté à un utilisateur mieux défendu, vous recommencez à attaquer l’infrastructure afin de pouvoir revenir en mode attaquant du milieu pour une bonne vieille capture de cookies de session et d’autres détournements sur NGINX », a-t-il déclaré.

Trouver et exploiter les vulnérabilités côté serveur ou les vulnérabilités de sécurité du réseau est rapide, bon marché et facile grâce à l’IA, a-t-il ajouté.

Il est essentiel que les serveurs Web disposent des derniers correctifs de sécurité, a-t-il ajouté. Et les administrateurs doivent également surveiller le site Web d’avis de sécurité NGINX.

VulnérabilitésSécuritéCyberattaquesCybercriminalité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

prismatic rgb image
Des chercheurs découvrent une vulnérabilité vieille de 30 ans dans la bibliothèque libpng
US Navy Nuclear Power Training Command
Le problème fondamental : comment le manque de responsabilité détruit la cybersécurité
Companies monitoring employees
Les hackers retournent les bosswares contre les patrons