Lỗ hổng Nginx UI nghiêm trọng đang bị khai thác để chiếm quyền điều khiển máy chủ

Lỗ hổng Nginx UI nghiêm trọng đang bị khai thác để chiếm quyền điều khiển máy chủ

Các hacker đang tích cực khai thác lỗ hổng bảo mật nghiêm trọng CVE-2026-33032 trong công cụ quản lý Nginx UI, cho phép chiếm quyền kiểm soát máy chủ từ xa. Vấn đề này liên quan đến tích hợp AI và đã ảnh hưởng đến hàng nghìn phiên bản triển khai trên toàn cầu.

Rủi ro bảo mật API

Một lỗ hổng nghiêm trọng trong Nginx UI cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn máy chủ đang bị khai thác thực tế trong tự nhiên. Nginx UI là giao diện quản lý dựa trên web cho máy chủ web Nginx, hiện có hơn 11.000 sao trên GitHub và có thể đang được sử dụng để quản lý hàng trăm nghìn bản triển khai.

Phần mềm này bị ảnh hưởng bởi lỗ hổng được theo dõi dưới mã số CVE-2026-33032, vừa được vá trong phiên bản 2.3.4 gần đây. Vấn đề này liên quan đến tính năng tích hợp AI (MCP) mới được thêm vào Nginx UI.

Pluto Security, công ty mà các nhà nghiên cứu của họ đã phát hiện và tiết lộ có trách nhiệm lỗ hổng này cho các nhà phát triển Nginx UI vào tháng 3, báo cáo đã tìm thấy hơn 2.600 phiên bản tiếp xúc với internet. Công ty an ninh mạng đã chứng minh cách một kẻ tấn công chưa xác thực có thể khai thác lỗ hổng này bằng các yêu cầu được tạo đặc biệt để chiếm quyền các máy chủ Nginx.

Các chi tiết kỹ thuật và mã khai thác khái niệm (PoC) đã được công khai. Công ty tình báo mối đe dọa Recorded Future gần đây báo cáo rằng CVE-2026-33032 là một trong 31 lỗ hổng có tác động cao mà họ quan sát thấy đang bị khai thác trong tự nhiên vào tháng 3 năm 2026. Tuy nhiên, dường như chưa có thông tin công khai nào về bản chất cụ thể của các cuộc tấn công này.

Về mặt lý thuyết, một tác nhân đe dọa có thể khai thác lỗ hổng này để chặn lưu lượng truy cập, triển khai cửa sau (backdoor) hoặc chuyển hướng độc hại, gây gián đoạn và đánh cắp thông tin nhạy cảm.

"Đây là lỗ hổng MCP nghiêm trọng thứ hai chúng tôi công bố trong năm nay, với nhiều lỗ hổng khác đang trong quá trình tiết lộ phối hợp," ông Yotam Perkal, giám đốc nghiên cứu bảo mật tại Pluto, cho biết. "Mô hình này nhất quán — các điểm cuối tích hợp AI phơi bày cùng các khả năng với ứng dụng cốt lõi nhưng thường bỏ qua các kiểm soát bảo mật của nó."

CVE-2026-33032 không phải là lỗ hổng Nginx UI duy nhất được công bố trong những tháng gần đây. Người dùng cũng đã được cảnh báo về CVE-2026-27944, có thể được khai thác để tải xuống dữ liệu sao lưu chưa xác thực, và CVE-2026-33030, cho phép kẻ tấn công đã xác thực truy cập, sửa đổi và xóa tài nguyên của người dùng khác.

Các quản trị viên hệ thống được khuyến nghị cập nhật lên phiên bản mới nhất ngay lập tức để giảm thiểu rủi ro bị tấn công.