- 26,034
- 46
- 8 Ноя 2022
Популярный инструмент для веб-мастеров nginx-ui открыт для взлома.
Обычный веб-сервер может перейти под полный контроль злоумышленника после одного запроса из интернета. Новая уязвимость в популярной панели управления Nginx уже используется в реальных атаках, и для взлома даже не нужен пароль.
Проблема получила идентификатор CVE-2026-33032 (оценка по CVSS: 9.8) и связана с тем, что nginx-ui оставляет без защиты служебный адрес «/mcp_message». Через него любой человек в сети может выполнять команды с повышенными правами без проверки доступа. Речь идёт о действиях, которые напрямую управляют сервером: перезапуске Nginx, изменении или удалении конфигурационных файлов и их автоматической перезагрузке.
По данным Национального института стандартов и технологий США, любой атакующий с доступом к сети может получить полный контроль над службой Nginx. Достаточно отправить один запрос без авторизации. Разработчики закрыли дыру в версии 2.3.4 ещё 15 марта, спустя день после сообщения от компании Pluto Security. Однако подробности , включая демонстрационный код атаки, появились позже, к концу месяца. После публикации информация быстро разошлась, и атаки не заставили себя ждать.
nginx-ui представляет собой веб-интерфейс для управления сервером Nginx и широко используется. Проект собрал более 11 000 отметок «звезда» на GitHub, а образы скачали свыше 430 000 раз. По данным сканирования интернета через Shodan , сейчас доступно около 2 600 уязвимых установок. Больше всего таких систем обнаружили в Китае, США, Индонезии, Германии и Гонконге.
Атака строится просто. Злоумышленник устанавливает соединение с сервером, открывает сессию и получает идентификатор. После этого можно отправлять команды на уязвимый адрес «/mcp_message» без каких-либо проверок. Через доступные инструменты управления атакующий читает конфигурацию, выгружает файлы, добавляет вредоносные настройки и заставляет сервер применить изменения.
В демонстрации специалисты показали, как через этот механизм можно полностью захватить сервер Nginx без авторизации. С учётом уже идущих атак и доступных примеров взлома администраторам советуют срочно обновиться. Безопасная версия nginx-ui на данный момент – 2.3.6 , она вышла на прошлой неделе.
Обычный веб-сервер может перейти под полный контроль злоумышленника после одного запроса из интернета. Новая уязвимость в популярной панели управления Nginx уже используется в реальных атаках, и для взлома даже не нужен пароль.
Проблема получила идентификатор CVE-2026-33032 (оценка по CVSS: 9.8) и связана с тем, что nginx-ui оставляет без защиты служебный адрес «/mcp_message». Через него любой человек в сети может выполнять команды с повышенными правами без проверки доступа. Речь идёт о действиях, которые напрямую управляют сервером: перезапуске Nginx, изменении или удалении конфигурационных файлов и их автоматической перезагрузке.
По данным Национального института стандартов и технологий США, любой атакующий с доступом к сети может получить полный контроль над службой Nginx. Достаточно отправить один запрос без авторизации. Разработчики закрыли дыру в версии 2.3.4 ещё 15 марта, спустя день после сообщения от компании Pluto Security. Однако подробности , включая демонстрационный код атаки, появились позже, к концу месяца. После публикации информация быстро разошлась, и атаки не заставили себя ждать.
nginx-ui представляет собой веб-интерфейс для управления сервером Nginx и широко используется. Проект собрал более 11 000 отметок «звезда» на GitHub, а образы скачали свыше 430 000 раз. По данным сканирования интернета через Shodan , сейчас доступно около 2 600 уязвимых установок. Больше всего таких систем обнаружили в Китае, США, Индонезии, Германии и Гонконге.
Атака строится просто. Злоумышленник устанавливает соединение с сервером, открывает сессию и получает идентификатор. После этого можно отправлять команды на уязвимый адрес «/mcp_message» без каких-либо проверок. Через доступные инструменты управления атакующий читает конфигурацию, выгружает файлы, добавляет вредоносные настройки и заставляет сервер применить изменения.
В демонстрации специалисты показали, как через этот механизм можно полностью захватить сервер Nginx без авторизации. С учётом уже идущих атак и доступных примеров взлома администраторам советуют срочно обновиться. Безопасная версия nginx-ui на данный момент – 2.3.6 , она вышла на прошлой неделе.
- Источник новости
- www.securitylab.ru
