Мошенники освоили уязвимость в Nginx UI: они перехватывают доступ к веб-серверам обходя аутентификацию
Хакеры активно сканируют и эксплуатируют критическую уязвимость в Nginx UI. Проблема (CVE-2026-33032) связана с ошибкой в интеграции с MCP-компонентом и позволяет обходить проверки доступа через специально сформированные API-запросы. Атаки уже носят массовый характер, фиксируются автоматизированные попытки взлома. Уязвимость затрагивает около 2600 серверов по всему миру, включая инфраструктуру Alibaba Cloud, Oracle и Tencent. Российские компании также в зоне риска: Nginx занимает 60% рынка веб-серверов в стране.
Хакеры активно осваивают уязвимость в Nginx UI — веб-интерфейсе для управления настройками веб-сервера Nginx. С помощью уязвимости мошенники перехватывают доступ к веб-серверам. Независимая группа Insikt компании Recorded Future включила уязвимость CVE-2026-33032 в перечень 31 уязвимости с высоким риском, её оценка риска — 94 балла из 100, сообщает Infosecurity Magazine.
По оценке исследователей из Pluto Security, собранной по результатам анализа Shodan, в мире действуют 2600 общедоступных экземпляров Nginx UI у различных облачных провайдеров — включая Alibaba Cloud, Oracle и Tencent. Уязвимость может представлять опасность и для российских пользователей: по данным «Коммерсантъ» на 2022 год, доля Nginx составляла 60% рынка.
Уязвимость в Nginx UI позволяет обходить аутентификацию и получать доступ к настройкам сервера без учетных данных. Это дает возможность изменять конфигурацию серверов, внедрять вредоносный код и перехватывать трафик. Подтверждается, что проблема уже используется в реальных атаках.
Проблема связана с ошибкой в интеграции с MCP (management control plane — компонент управления), которая позволяет отправлять специально сформированные запросы к API и обходить проверки доступа. В результате защищенный интерфейс управления может использоваться как точка входа для атаки.
Эксплуатация уязвимости возможна удаленно и не требует сложной подготовки. Получив доступ, злоумышленник может изменять правила проксирования, перенаправлять трафик или внедрять дополнительные компоненты, что создает риск компрометации как самого сервера, так и обслуживаемых приложений.
Наблюдения показывают, что атаки уже приобретают массовый характер: фиксируются попытки автоматизированного сканирования и эксплуатации уязвимых инсталляций, что указывает на быстрый переход от публикации уязвимости к ее практическому использованию.
Уязвимость получила идентификатор CVE и классифицируется как критическая из-за возможности удаленной эксплуатации без аутентификации и получения административных привилегий. Рекомендации сводятся к срочному обновлению уязвимых компонентов и ограничению доступа к интерфейсу управления.
Читайте также
