В системах администрирования веб-серверов обнаружена критическая уязвимость, позволяющая неавторизованным злоумышленникам скачивать и расшифровывать полные резервные копии сервера. Проблема затрагивает популярную панель управления Nginx UI, используемую для удобной настройки и мониторинга Nginx. Уязвимость, получившая идентификатор CVE-2026-27944, получила максимально высокую оценку критичности - 9.8 из 10 по шкале CVSS. Её эксплуатация приводит к компрометации высокочувствительных данных, включая учётные данные пользователей, токены сессий и приватные SSL-ключи, что ставит под угрозу безопасность всей серверной инфраструктуры. Это событие особенно важно для системных администраторов, DevOps-инженеров и компаний, использующих данное решение для управления веб-серверами, так как последствия могут привести к полному захвату контроля над сервисами.
Уязвимость CVE-2026-27944
Анализ уязвимости показывает, что её корень лежит в двух фундаментальных ошибках приложении Nginx UI, написанном на языке Go. Проблема затрагивает все версии, предшествующие 2.3.2. Первая ошибка заключается в полном отсутствии проверки подлинности на эндпоинте "/api/backup". В отличие от функции восстановления, которая корректно использует промежуточное программное обеспечение безопасности для блокировки несанкционированного доступа, маршрутизация для создания резервных копий остаётся полностью открытой для публичного интернета. Эта оплошность классифицируется по стандарту CWE-306, который описывает отсутствие аутентификации для критической функции.
Вторая, не менее серьёзная ошибка, - это криптографический провал, отслеживаемый как CWE-311 (отсутствие шифрования чувствительных данных). Хотя Nginx UI пытается защитить создаваемые архивы с помощью шифрования AES-256-CBC, эта защита полностью нивелируется тем, что ключи дешифрования передаются запрашивающей стороне в открытом виде. Когда любой пользователь отправляет GET-запрос на уязвимый эндпоинт, сервер отвечает, включая в HTTP-заголовок "X-Backup-Security" закодированные в формате base64 AES-256 ключ и 16-байтовый вектор инициализации в чистом тексте. Таким образом, сама система предоставляет злоумышленнику всё необходимое для взлома.
Исследователь безопасности под псевдонимом 0xJacky недавно опубликовал сценарий-доказательство концепции на Python, наглядно демонстрирующий, как легко эту уязвимость можно использовать в атаке. Скрипт обращается к базовому URL, запрашивает резервную копию без каких-либо учётных данных и автоматически распаковывает скачанные файлы, используя перехваченные ключи. Поскольку эксплуатация основана на стандартных HTTP-запросах и базовых криптографических библиотеках, злоумышленники могут быстро автоматизировать атаки в крупных масштабах. Извлечённые резервные копии содержат катастрофические по степени секретности данные. В архиве "nginx-ui.zip" оказывается доступна системная база данных, учётные данные пользователей и конфигурационные секреты. Более того, архив "nginx.zip" раскрывает основные конфигурации Nginx, настройки виртуальных хостов и полные цепочки SSL-сертификатов вместе с приватными ключами.
Последствия эксплуатации этой уязвимости крайне серьёзны. Злоумышленник, получивший приватные SSL-ключи, может организовать фишинговые атаки, выдавая свой сайт за легитимный ресурс жертвы, или провести атаку "человек посередине". Компрометация учётных данных и токенов сессий открывает путь к полному административному контролю над панелью управления, а через неё - и над конфигурацией самого веб-сервера Nginx. Это может привести к подмене содержимого сайтов, перенаправлению трафика на вредоносные ресурсы или установке программ-вымогателей. Для компаний это грозит масштабными утечками данных, финансовыми потерями, простоем сервисов и репутационным ущербом.
Учитывая, что для эксплуатации уязвимости не требуется взаимодействие с пользователем и её легко использовать по сети, организациям, применяющим Nginx UI, необходимо принять срочные меры. Отсутствие аутентификации означает, что любой автоматический сканер или вредоносный бот может обнаружить и атаковать открытые экземпляры за считанные секунды. Администраторам настоятельно рекомендуется незамедлительно выполнить следующие шаги по устранению угрозы. Во-первых, необходимо обновить Nginx UI до версии 2.3.3, в которой корректно защищён эндпоинт резервного копирования. Во-вторых, следует исходить из того, что все активные учётные данные и токены сессий скомпрометированы, и немедленно заменить их. В-третьих, критически важно создать и развернуть новые приватные ключи и сертификаты SSL/TLS на всех затронутых серверах. Наконец, необходимо пересмотреть политики сетевой безопасности: все административные интерфейсы Nginx UI должны быть ограничены доверенными внутренними сетями, а доступ к ним из публичного интернета - полностью заблокирован. Своевременное применение этих мер позволит минимизировать риски и защитить инфраструктуру от потенциально разрушительных последствий.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-27944
- https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-g9w5-qffc-6762
