CIBERCRIMINALES EXPLOTAN FALLA "REACT2SHELL" PARA SECUESTRAR TRÁFICO WEB MASIVO MEDIANTE NGINX

NUEVA YORK – Una sofisticada campaña de secuestro de tráfico web está afectando a miles de servidores en todo el mundo. Según un reciente informe de Datadog Security Labs, diversos grupos de actores de amenazas están explotando la vulnerabilidad crítica conocida como React2Shell (CVE-2025-55182) para inyectar configuraciones maliciosas en servidores NGINX y paneles de gestión como Baota (BT).

Esta ofensiva permite a los atacantes interceptar y redirigir las solicitudes legítimas de los usuarios hacia infraestructuras controladas por criminales, facilitando el robo de datos y la distribución de malware a gran escala.

El método: De la ejecución de código al control de red

La vulnerabilidad React2Shell, que posee la máxima puntuación de severidad (CVSS 10.0), permite la ejecución remota de comandos sin necesidad de autenticación. En esta nueva oleada de ataques, los investigadores de Datadog observaron que, una vez comprometido el servidor, los atacantes despliegan una serie de scripts de shell:

1. zx.sh: Actúa como orquestador principal para descargar y ejecutar etapas posteriores utilizando utilidades legítimas como curl o wget.

2. bt.sh: Diseñado específicamente para entornos que utilizan el panel de gestión Baota. Este script sobrescribe los archivos de configuración de NGINX para insertar directivas maliciosas.

A través de la directiva proxy_pass, los criminales capturan el tráfico que llega a rutas URL específicas y lo desvían hacia servidores externos bajo su dominio, lo que les otorga un control total sobre la comunicación entre el usuario y el sitio web legítimo.

Escala del impacto y persistencia

Los datos de telemetría de GreyNoise subrayan la intensidad de la campaña: entre el 26 de enero y el 2 de febrero de 2026, se identificaron 1,083 direcciones IP únicas participando activamente en la explotación de React2Shell. Sorprendentemente, solo dos direcciones IP (ubicadas en redes de hosting europeas) concentran el 56% de todos los intentos de ataque registrados en la última semana.

Aunque la falla original fue divulgada hace dos meses, el volumen de ataques no ha disminuido. "Los atacantes no solo buscan comandos rápidos; están instalando configuraciones de red persistentes que les permiten monetizar el acceso a largo plazo", señaló Ryan Simon, investigador de seguridad en Datadog.

Recomendaciones de seguridad

La campaña demuestra que la explotación de React2Shell ha evolucionado de simples pruebas de concepto (PoC) a infraestructuras de post-explotación altamente organizadas. Se recomienda encarecidamente a los administradores de sistemas:

• Actualizar de inmediato: Asegurarse de que las aplicaciones que utilizan React Server Components (RSC) y Next.js estén en sus versiones parcheadas.

• Auditar configuraciones: Revisar los archivos de configuración de NGINX (especialmente en /etc/nginx/conf.d/) en busca de directivas proxy_pass o location no autorizadas.

• Monitorear paneles de gestión: Asegurar el acceso a herramientas como Baota (BT) y revisar logs de cambios en los archivos del sistema.

Este ataque pone de relieve la vulnerabilidad de las infraestructuras de red modernas cuando se combinan fallas críticas en frameworks de desarrollo con configuraciones de servidores web expuestas.