Критическая уязвимость в Nginx UI с поддержкой MCP позволяет удаленным злоумышленникам захватить полный контроль над сервером без аутентификации через незащищенную конечную точку «/mcp_message». Уязвимость активно эксплуатируется. — bleepingcomputer.com
Критическая уязвимость в Nginx UI с поддержкой протокола Model Context Protocol (MCP) в настоящее время активно эксплуатируется в реальных атаках для полного захвата сервера без аутентификации.
Сбой, отслеживаемый как CVE-2026-33032, вызван тем, что nginx-ui оставляет конечную точку «/mcp_message» незащищенной, что позволяет удаленным злоумышленникам вызывать привилегированные действия MCP без учетных данных.
Поскольку эти действия включают запись и перезагрузку конфигурационных файлов nginx, одного неаутентифицированного запроса достаточно для изменения поведения сервера и фактического захвата веб-сервера.
«[…] любой сетевой злоумышленник может вызывать все инструменты MCP без аутентификации, включая перезапуск nginx, создание/изменение/удаление конфигурационных файлов nginx и запуск автоматической перезагрузки конфигурации — достигая полного захвата службы nginx», — говорится в описании уязвимости NIST в Национальной базе данных уязвимостей (NVD).
NGNIX выпустила исправление для этой уязвимости в версии 2.3.4 15 марта, через день после того, как о ней сообщили исследователи из компании Pluto Security AI, специализирующейся на безопасности рабочих процессов ИИ. Однако идентификатор уязвимости, наряду с техническими подробностями и эксплойтом с доказательством концепции (PoC), появился в конце месяца.
В отчете CVE Landscape, опубликованном ранее на этой неделе, компания по анализу угроз Recorded Future отмечает, что CVE-2026-33032 находится под активной эксплуатацией.
Nginx UI — это веб-интерфейс управления для веб-сервера Nginx. Библиотека очень популярна: более 11 000 звезд на GitHub и 430 000 загрузок Docker.
На основании сканирований интернета, проведенных Pluto Security с использованием движка Shodan, в настоящее время существует 2600 общедоступных экземпляров, потенциально уязвимых для атак. Большинство из них находятся в Китае, США, Индонезии, Германии и Гонконге.
В отчете, опубликованном сегодня, Йотам Перкал из Pluto Security заявляет, что для эксплуатации требуется только сетевой доступ и она достигается путем установки соединения SSE, открытия сеанса MCP, а затем использования возвращенного «sessionID» для отправки запросов на конечную точку «/mcp_message».
Оттуда злоумышленники могут вызывать инструменты MCP без аутентификации и выполнять следующие действия:
- Подключение к целевому экземпляру nginx-ui
- Отправка запросов без каких-либо заголовков аутентификации
- Получение доступа ко всем 12 инструментам MCP (7 деструктивных)
- Чтение конфигурационных файлов nginx и их эксфильтрация
- Внедрение нового блока сервера nginx с вредоносной конфигурацией
- Запуск автоматической перезагрузки nginx
Демонстрация Pluto Security показывает, что злоумышленник может использовать незащищенную конечную точку сообщений MCP для выполнения привилегированных действий по управлению nginx, внедрения конфигурации и, в конечном итоге, захвата контроля над сервером nginx, и все это без аутентификации.
Учитывая статус активной эксплуатации и наличие общедоступных PoC, системным администраторам рекомендуется как можно скорее применить доступные обновления безопасности. Последняя безопасная версия nginx-ui — 2.3.6, выпущенная на прошлой неделе.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas