Peretas Kompromikan Server NGINX untuk Mengalihkan Lalu Lintas Pengguna

Peneliti keamanan mengungkap kampanye berbahaya yang menargetkan server NGINX dengan tujuan membajak lalu lintas pengguna dan mengalihkannya melalui infrastruktur milik penyerang. Serangan ini tidak mengeksploitasi celah perangkat lunak, melainkan menyusupkan instruksi berbahaya langsung ke berkas konfigurasi NGINX, sehingga sulit terdeteksi.

NGINX merupakan perangkat lunak open-source yang banyak digunakan untuk mengelola lalu lintas web, termasuk sebagai web server, load balancer, cache, dan reverse proxy. Perannya yang berada di tengah koneksi pengguna dan server membuat kompromi pada konfigurasi NGINX berdampak luas terhadap integritas lalu lintas.

Target dan Modus Operasi

Kampanye ini diidentifikasi oleh peneliti keamanan yang menemukan bahwa instalasi NGINX dan panel manajemen hosting Baota menjadi sasaran utama, khususnya pada situs dengan domain tingkat atas Asia seperti .in, .id, .pe, .bd, dan .th, serta situs pemerintahan dan pendidikan dengan domain .gov dan .edu.

Penyerang memodifikasi berkas konfigurasi NGINX yang sudah ada dengan menyisipkan blok location berbahaya. Blok ini menangkap permintaan masuk pada jalur URL tertentu yang dipilih penyerang, menulis ulang permintaan tersebut dengan menyertakan URL asli, lalu meneruskannya ke domain backend yang dikendalikan penyerang melalui direktif proxy_pass.

Direktif tersebut umumnya digunakan secara sah untuk load balancing dan failover, sehingga penyalahgunaannya tidak memicu peringatan keamanan. Untuk mempertahankan tampilan lalu lintas yang sah, penyerang juga mempertahankan header permintaan seperti Host, X-Real-IP, User-Agent, dan Referer.

Toolkit Bertahap untuk Injeksi Konfigurasi

Serangan ini dijalankan menggunakan toolkit skrip bertahap yang dirancang untuk menyisipkan konfigurasi berbahaya tanpa menyebabkan gangguan layanan. Tahap awal bertindak sebagai pengendali untuk mengunduh dan menjalankan skrip lanjutan, termasuk mekanisme cadangan yang dapat mengirim permintaan HTTP mentah jika alat standar tidak tersedia.

Tahap berikutnya menargetkan konfigurasi NGINX yang dikelola panel Baota, memilih templat injeksi berdasarkan nilai server_name, menimpa konfigurasi dengan aman, dan memuat ulang NGINX untuk menghindari downtime. Skrip lanjutan melakukan enumerasi lokasi konfigurasi umum, memverifikasi perubahan agar tidak merusak berkas, serta mendeteksi injeksi sebelumnya sebelum menerapkan modifikasi baru.

Pada tahap akhir, penyerang memindai konfigurasi yang telah dikompromikan untuk memetakan domain yang dibajak, templat injeksi, dan tujuan proxy. Informasi ini kemudian dikirimkan ke server kendali jarak jauh milik penyerang.

Sulit Dideteksi dan Dampak Nyata

Yang membuat serangan ini berbahaya adalah sifatnya yang tersembunyi. Tidak ada eksploitasi kerentanan NGINX, sehingga sistem keamanan berbasis signature atau pemindaian kerentanan tidak akan mendeteksinya. Selain itu, lalu lintas pengguna tetap sampai ke tujuan akhir—sering kali tanpa gangguan—meskipun sebelumnya melewati infrastruktur penyerang.

Akibatnya, kompromi dapat berlangsung lama tanpa disadari, memungkinkan penyerang memantau, memodifikasi, atau menganalisis lalu lintas secara diam-diam. Tanpa pemantauan konfigurasi yang ketat dan audit berkala, penyusupan ini nyaris tak terlihat.

Imbauan Keamanan

Administrator sistem disarankan untuk melakukan audit rutin terhadap berkas konfigurasi NGINX, membatasi akses penulisan konfigurasi, serta memantau perubahan yang tidak sah. Penerapan file integrity monitoring, pembatasan hak akses panel manajemen hosting, dan peninjauan log reload atau restart NGINX juga penting untuk mendeteksi aktivitas mencurigakan.

Kasus ini menegaskan bahwa ancaman siber tidak selalu bergantung pada eksploitasi celah teknis. Penyalahgunaan fitur sah melalui manipulasi konfigurasi dapat menjadi vektor serangan yang sama berbahayanya—bahkan lebih sulit terdeteksi—jika pengawasan operasional tidak diperketat.