Критическая уязвимость в популярном веб-интерфейсе для управления серверами Nginx, известном как nginx-ui, активно эксплуатируется в реальных атаках. Ошибка, зарегистрированная как CVE-2026-33032 и получившая максимальный балл 9.8 по шкале CVSS, позволяет удалённым злоумышленникам полностью захватить контроль над сервером, не предоставляя паролей или иных учётных данных. Данный инцидент затрагивает тысячи организаций по всему миру, использующих этот инструмент для настройки и администрирования веб-инфраструктуры, и служит тревожным напоминанием о рисках, связанных с компонентами, обеспечивающими удалённое управление.
Уязвимость CVE-2026-33032
Согласно исследователям компании Pluto Security, которые первыми обнаружили и сообщили об этой проблеме, для полного компрометирования системы злоумышленникам достаточно отправить запрос к одному незащищённому HTTP-эндпоинту. Корень уязвимости лежит в реализации интеграции с Model Context Protocol (MCP, протокол контекстного взаимодействия для моделей) - функцией, позволяющей AI-агентам напрямую управлять конфигурациями сервера. Эта интеграция использует два основных канала связи. Первый эндпоинт, отвечающий за установление соединения, корректно требует ввода пароля и проверяет IP-адрес по списку разрешённых. Однако второй эндпоинт, где непосредственно обрабатываются административные команды, полностью пропускает этап аутентификации.
Ситуацию усугубляет то, что список разрешённых IP-адресов по умолчанию пуст. В данной конкретной архитектуре программного обеспечения пустой список интерпретируется как правило "разрешить всем", а не как запрет для неизвестных внешних пользователей. Вследствие этой ошибки в коде любой пользователь в сети может обойти средства контроля и отправить деструктивные команды напрямую веб-серверу. Эксплуатируя этот пробел в аутентификации, злоумышленники получают мгновенный доступ к двенадцати мощным инструментам управления без необходимости входа в систему.
Как сообщает Pluto Security, эти инструменты делятся на две категории. К деструктивным относятся семь средств, позволяющих создавать новые конфигурации, изменять существующие настройки, включать или отключать сайты, переименовывать файлы, создавать каталоги, а также перезапускать или обновлять конфигурацию процесса Nginx. Примечательно, что запись новой конфигурации автоматически вызывает перезагрузку сервера, что мгновенно применяет внесённые злонамеренные изменения. Кроме того, доступны пять инструментов для разведки, предназначенных только для чтения: просмотр истории конфигураций, чтение любого конфигурационного файла, получение списка всех сетевых настроек, поиск путей к каталогам и проверка текущего статуса сервера.
Располагая таким арсеналом, злоумышленник может легко перехватывать сетевой трафик, похищать пароли административных сессий, картографировать внутреннюю сеть сервисов или просто выводить из строя весь веб-сервер. Угроза для организаций является реальной и актуальной. Компания Recorded Future, специализирующаяся на анализе угроз, идентифицировала CVE-2026-33032 как одну из наиболее значимых уязвимостей, активно эксплуатируемых хакерами в марте 2026 года. Более того, VulnCheck официально добавила эту уязвимость в свой список известных эксплуатируемых уязвимостей, что подтверждает её активное использование враждебными субъектами в реальных условиях.
Потенциальная область воздействия этой уязвимости огромна. Проект nginx-ui зафиксировал более 430 000 скачиваний через Docker, что делает его чрезвычайно популярным инструментом среди разработчиков программного обеспечения. Поиск в сети с помощью Shodan, проведённый Pluto Security, выявил более 2600 публично доступных экземпляров nginx-ui, размещённых у крупных облачных провайдеров по всему миру. Каждый неустановленный экземпляр представляет собой потенциальную лёгкую цель для удалённых атакующих. Этот случай подчёркивает, насколько критически важно не только своевременно обновлять программное обеспечение, но и правильно настраивать параметры безопасности, особенно те, что касаются управления доступом.
К счастью, устранение проблемы безопасности является относительно простым процессом. Разработчики проекта nginx-ui исправили уязвимость в версии 2.3.4, добавив строку кода, которая строго требует аутентификацию на уязвимом эндпоинте. Организациям, использующим nginx-ui, настоятельно рекомендуется немедленно обновить все установки до версии 2.3.4 или более поздней. Кроме того, необходимо пересмотреть настройки списка разрешённых IP-адресов, чтобы убедиться, что они явно сконфигурированы и не оставлены в состоянии "разрешить всем" по умолчанию. Также целесообразно проверить журналы серверов на предмет несанкционированных изменений конфигураций или необычных шаблонов доступа к порту 9000, который использует интерфейс. Данный инцидент служит важным уроком о необходимости тщательного аудита компонентов, которые предоставляют административный доступ, и о критической важности принципа наименьших привилегий при проектировании и развёртывании подобных систем управления.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-33032
- https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-h6c2-x2m2-mwhf
- https://pluto.security/blog/mcp-bug-nginx-security-vulnerability-cvss-9-8/
