新たに発見されたNginx UIの重大な欠陥は、認証されていない攻撃者がシステム全体のバックアップをダウンロードして復号化できるようにすることで、サーバーを完全なデータ侵害の危険にさらしています。
CVE-2026-27944として追跡されるこの問題は、CVSSスケールで9.8(重大)と評価されており、世界中の本番システムへの深刻さと潜在的な影響を強調しています。
セキュリティ研究者は、この欠陥がGoベースのNginx UIアプリケーションにおける2つの主要なコーディングエラーに由来し、2.3.2より前のすべてのバージョンに影響することを明らかにしました。
最初の問題は/api/backupエンドポイントにあり、適切な認証制御を実施していません。未承認アクセスをフィルタリングするミドルウェアを使用する安全なリストア関数とは異なり、バックアップルートは公開アクセス可能なままです。
この欠陥はCWE-306(重要な関数に対する認証不足)に該当し、事実上、認証情報なしで誰でも完全なバックアップをリクエストできるようになっています。
2番目の問題は危険な暗号化の誤実装(CWE-311、機密データの暗号化不足)に関するものです。
Nginx UIはAES-256-CBCを使用してバックアップアーカイブを暗号化しようと試みていますが、復号化キーをリクエスター側に返すことで、自らのセキュリティを損なっています。
つまり、攻撃者はバックアップを取得するだけでなく、復号化することもでき、ユーザー認証情報、セッショントークン、データベースエントリ、さらにはSSL秘密鍵などの非常に機密性の高いファイルに即座にアクセスできます。
サンプルPythonスクリプトは対象に単純なHTTPリクエストを送信し、提供されたキーとIVを使用して返されたアーカイブを自動的に復号化し、侵害を単一ステップのプロセスに変えます。
この攻撃は認証を必要とせず、リモートで実行できるため、公開されているNginx UIのデプロイメントは即座の危険にさらされています。
脅威アクターは、一般的なHTTPツールやスキャニングボットをインターネット全体で使用してエクスプロイトを自動化できます。
管理者は以下の対策を講じるよう促されています:
Nginx UIの更新またはセキュア化の失敗は、サーバーの完全な侵害、データ漏洩、および環境全体での証明書の露出につながる可能性があります。
翻訳元: https://cyberpress.org/critical-nginx-ui-vulnerabilities/