Nginx-UIの脆弱性が積極的に悪用され、サーバーを完全に乗っ取られる

Nginxサーバーを管理するための広く使われているオープンソースのウェブインターフェースであるnginx-uiの深刻な脆弱性が、現在ワイルドで積極的に悪用されています。

CVE-2026-33032として追跡されており、最大CVSS基本スコアは9.8です。この重大な欠陥により、リモート攻撃者はパスワードや認証情報を提供することなく、サーバーを完全に乗っ取ることができます。

最初にこのバグを発見して報告したPluto Securityのサイバーセキュリティ研究者によると、単一の保護されていないHTTPエンドポイントがあれば、悪意のある行為者は数秒でシステムを完全に危険にさらすことができます。

Nginx-UIの脆弱性

問題の根源は、ソフトウェアのモデルコンテキストプロトコル（MCP）統合にあります。これはAIエージェントがサーバー設定を直接管理できるようにする機能です。この統合は2つの主要な通信チャネルに依存しています。

データ接続を開くために使用される最初のエンドポイントは、パスワードを適切に要求し、承認されたIPアドレスリストをチェックします。しかし、Pluto Securityの研究者が発見したところによると、実際の管理コマンドが処理される2番目のエンドポイントは、認証要件を完全にスキップしています。

さらに悪いことに、IPアドレスホワイトリストはデフォルトで空の状態です。このような特定のソフトウェアアーキテクチャでは、空のリストは未知の外部ユーザーをブロックする代わりに、「すべて許可」というフェイルオープンルールとして機能します。

このコーディング上の誤りのため、ネットワーク上の誰でもセキュリティ制御をバイパスして、Webサーバーに破壊的なコマンドを直接送信できます。

この認証ギャップを悪用することで、攻撃者はログインすることなく、12個の強力な管理ツールに即座にアクセスします。Pluto Securityは、これらの公開された機能が2つのカテゴリに分かれていることを報告しています。

破壊的なツール：攻撃者は7つのツールを使用して、新しい設定を作成し、既存の設定を変更し、サイトを有効または無効にし、ファイルの名前を変更し、ディレクトリを作成し、Nginxプロセスを再起動または再ロードできます。新しい設定を書き込むと、サーバーが自動的に再ロードされ、悪意のある変更が即座に適用されます。
情報収集ツール：ハッカーは5つの読み取り専用ツールを使用して、設定履歴を表示し、任意のコンフィグファイルを読み、すべてのネットワーク設定をリストアップし、ディレクトリパスを検索し、アクティブなサーバーステータスをチェックすることもできます。

これらのツールを自由に使える状態では、ハッカーはネットワークトラフィックを簡単に傍受し、管理者セッションのパスワードを盗み、内部サービスネットワークをマッピングし、またはWebサーバー全体をクラッシュさせることができます。

組織への脅威は現実的で即座です。脅威インテリジェンス企業のRecorded Futureは、CVE-2026-33032を2026年3月にハッカーによって積極的に悪用されている最も影響力のある脆弱性の1つとして識別しました。

さらに、VulnCheckは公式にこの欠陥を既知の悪用脆弱性リストに追加し、ワイルドの脅威行為者による積極的な悪用を確認しました。

この欠陥の攻撃面は膨大です。Nginx-uiは430,000以上のDockerプルを記録しており、ソフトウェア開発者の間で非常に人気のあるツールです。

Pluto Securityが実施したShodanネットワーク検索では、世界中の主要クラウドプロバイダーに広がる2,600以上の公開されているnginx-uiインスタンスが明らかになりました。パッチが適用されていないすべてのインスタンスは、リモート攻撃者にとって簡単な標的になる可能性があります。

幸いなことに、セキュリティ上の問題を修正するのは簡単です。nginx-uiプロジェクトの保守者は、脆弱なエンドポイントの認証を厳密に実施する1行のコードを追加することで、バージョン2.3.4でこの脆弱性を解決しました。

nginx-uiを利用している組織は、インフラストラクチャを保護するために以下の手順を取ることを強く求められています。