Model Context Protocol(MCP)対応のNginx UIの重大な脆弱性が現在、認証なしの完全なサーバー乗っ取りのために野生で悪用されています。
CVE-2026-33032として追跡されているこの欠陥は、nginx-uiが’/mcp_message’エンドポイントを保護されないままにしていることが原因で、リモート攻撃者が認証情報なしに特権MCPアクションを呼び出すことを可能にしています。
これらのアクションはnginxの設定ファイルの書き込みと再読み込みを含むため、1つの認証なしのリクエストでサーバーの動作を変更し、事実上Webサーバーを乗っ取ることができます。
「[…]任意のネットワーク攻撃者は認証なしにすべてのMCPツールを呼び出すことができ、nginxの再起動、nginxの設定ファイルの作成/変更/削除、および自動設定の再読み込みのトリガーを含めて、nginxサービスの完全な乗っ取りを実現できる」と、国家脆弱性データベース(NVD)でこの欠陥の説明をしているNISTの記述に記載されています。
NGNIXは3月15日にバージョン2.3.4でこの欠陥の修正をリリースしました。これはAIワークフローセキュリティ企業Pluto Security AIが報告した1日後です。しかし、脆弱性識別子と技術詳細およびプルーフオブコンセプト(PoC)エクスプロイトは月末に現れました。
今週初めのCVE Landscapeレポートで、脅威インテリジェンス企業Recorded Futureは、CVE-2026-33032が積極的な悪用の対象になっていることに注目しています。
Nginx UIはNginx WebサーバーのためのWebベースの管理インターフェースです。このライブラリは非常に人気が高く、GitHubで11,000以上のスターと430,000のDockerプルを備えています。
Pluto SecurityがShodanエンジンを使用したインターネットスキャンに基づいて、現在攻撃に対して潜在的に脆弱な2,600の公開されたインスタンスがあります。ほとんどは中国、米国、インドネシア、ドイツ、香港にあります。
本日のPluto SecurityのYotam Perkalによるレポートによると、悪用にはネットワークアクセスのみが必要で、SSEコネクションの確立、MCPセッションのオープン、および返されたの’sessionID’を使用して’/mcp_message’エンドポイントへのリクエストを送信することで実現されます。
そこから、攻撃者は認証なしにMCPツールを呼び出し、以下のアクションを実行できます。
- ターゲットのnginx-uiインスタンスに接続する
- 認証ヘッダーなしでリクエストを送信する
- 12のMCPツール(7つの破壊的な)すべてにアクセスする
- nginxの設定ファイルを読み取り、流出させる
- 悪意のある設定で新しいnginxサーバーブロックを挿入する
- 自動nginx再読み込みをトリガーする
Pluto Securityのデモは、攻撃者が認証なしのMCPメッセージエンドポイントを使用して特権nginxの管理アクションを実行し、設定の挿入を実行し、最終的にnginxサーバーの制御を取得できることを示しており、これはすべて認証なしです。
積極的な悪用ステータスと公開PoC入手可能性を考えると、システム管理者はできるだけ早く利用可能なセキュリティ更新プログラムを適用することをお勧めします。nginx-uiの最新のセキュアなバージョンは、先週リリースされた2.3.6です。
