Nginxウェブサーバーを管理するための人気のあるオープンソースインターフェースであるnginx-uiの致命的なセキュリティ脆弱性が、ハッカーによって積極的に悪用され、脆弱なシステムに対する完全なリモートコントロールを獲得しています。
CVE-2026-33032として追跡されており、最大CVSS スコア9.8を持つこの欠陥により、攻撃者は認証をバイパスし、認証情報なしで管理ツールにアクセスできます。
この脆弱性はnginx-uiのモデルコンテキストプロトコル(MCP)統合に由来し、AIエージェントがサーバー設定タスクを自動化できるように設計された機能です。
1つのMCPエンドポイントはパスワードを必要とし、承認されたIPリストに対してチェックしますが、Pluto Securityの分析は、認証なしで重要な管理コマンドを処理する2番目のエンドポイントを明らかにしました。
さらに悪いことに、デフォルトのIPホワイトリストは空で、すべての外部IPに無制限のアクセスを与える「フェイルオープン」条件として機能します。
この監視不足により、攻撃者はリモートで接続して特権コマンドを実行でき、すべてのセキュリティ防御を実質的にバイパスできます。
内部に侵入すると、悪意のあるユーザーは12のサーバー管理ツールに即座にアクセスでき、2つのカテゴリーに分かれています:
研究者によると、攻撃者はネットワークトラフィックをインターセプトし、管理者の認証情報を収集し、内部ネットワークをマップし、または悪意のあるサイトをデプロイできます。
脅威インテリジェンス企業Recorded Futureは、CVE-2026-33032を2026年3月の最も積極的に悪用されている脆弱性の中にリストアップしており、VulnCheckは最近、既知の悪用された脆弱性データベースへの掲載を確認しました。
Pluto Securityが共有したデータによると、430,000を超えるnginx-ui Dockerダウンロードと主要クラウドプロバイダー上の2,600の公開されたインスタンスは、グローバルな攻撃面を大幅に拡張しています。
この問題はnginx-ui バージョン2.3.4でパッチされており、影響を受けたエンドポイントに厳密な認証を強制します。
悪用が続く中、nginx-uiを実行している組織は、サーバー全体の侵害を防ぐために、パッチを直ちに優先すべきです。
翻訳元: https://cyberpress.org/nginx-ui-flaw-actively-exploited-to-enable-full-server-takeover/