Sicherheitsforscher warnen vor weltweiten Attacken auf Nginx-Webserver. Dabei erlangen Angreifer die volle Kontrolle über Server. Die Sicherheitslücke steckt im Web-Managementtool nginx-ui. Ein Sicherheitspatch ist seit März dieses Jahres verfügbar, aber offensichtlich noch nicht flächendeckend installiert.

Auch hierzulande sind den Forschern zufolge noch verwundbare Instanzen öffentlich über das Internet erreichbar. In welchem Umfang die Attacken ablaufen, ist aber derzeit unklar.

Hintergründe

Die „kritische“ Schwachstelle (CVE-2026-33032) betrifft einer Warnmeldung zufolge nginx-ui MCP (Model Context Protocol). Weil über /mcp_message erreichbare HTTP-Endpoints ohne Authentifizierung ansprechbar sind, können entfernte Angreifer mit präparierten HTTP-Anfragen an der Schwachstelle ansetzen. Im Anschluss können sie unter anderem Konfigurationen ändern und so die volle Kontrolle über Instanzen erlangen.

Vor den Attacken warnen unter anderem Sicherheitsforscher von Pluto in einem Bericht. Darin zeigen sie ausführlich, wie Attacken ablaufen und wie sich das Sicherheitsproblem zusammensetzt. Zusätzlich geben sie an, dass sie über die Suchmaschine Shodan weltweit auf fast 2700 verwundbare, über das Internet erreichbare Instanzen gestoßen sind. Der Großteil davon ist in China und den USA. In Deutschland sind es dem Scan zufolge 235 Instanzen.

Jetzt Sicherheitsupdate installieren!

Die dagegen abgesicherte nginx-ui-Version v.2.3.4 steht seit Mitte März dieses Jahres zum Download. Aktuell ist die Ausgabe v.2.3.6. Serveradmins sollten umgehend reagieren. Wer den Sicherheitspatch nicht sofort installieren kann, sollte für einen temporären Schutz MCP deaktivieren.

Im Beitrag der Sicherheitsforscher finden Admins Hinweise, woran sie bereits erfolgreich attackierte Systeme erkennen können.

Siehe auch:

• Nginx UI: Download schnell und sicher von heise.de

(des)

Es war als technologischer Meilenstein für den Jugendschutz gedacht: Eine EU-App, die das Alter verifiziert, ohne die Privatsphäre zu opfern. Doch wenige Stunden nach der Vorstellung durch Kommissionspräsidentin Ursula von der Leyen geriet das Projekt unter Beschuss. Der Security-Experte Paul Moore demonstrierte auf X, wie er das System in weniger als zwei Minuten „knackte“.

Seine Analyse offenbart, dass sensible Daten ungeschützt auf dem Gerät bleiben. So werden PIN-Codes unzureichend gesichert, Ratenbegrenzungen lassen sich durch das Zurücksetzen einfacher Konfigurationsdateien aushebeln, die biometrische Authentifizierung ist mit einem Klick deaktivierbar. Moore warnt: „Dieses Produkt wird der Katalysator für einen gewaltigen Datenabfluss sein.“

Der französische Hacker Baptiste Robert bestätigte Moores Funde. Es wäre auch möglich, den PIN-Code oder Touch ID einfach zu überspringen. Der Kryptologe Olivier Blazy sieht ein praktisches Problem: „Nehmen wir an, ich lade die App herunter und beweise, dass ich über 18 bin. Dann kann mein Neffe mein Telefon nehmen, die App entsperren und sie nutzen, um sich selbst als volljährig auszuweisen.“

Die Kommission verteidigt ihr Tool. Eine Sprecherin räumte nur ein, es ließen sich noch Dinge verbessern. Zudem hieß es aus Brüssel, die Hacker hätten eine veraltete Demoversion getestet, was diese aber bestritten. Später kam die Erläuterung, dass auch die online verfügbare „finale Version“ noch eine Demo sei. Das Endprodukt für Bürger werde erst später angeboten, der Code laufend aktualisiert.

Open Source als Korrektiv

Dass diese Lücken überhaupt so schnell gefunden wurden, liegt auch daran, dass die App Open Source ist. Blazy lobt diesen Ansatz. Er moniert aber, dass der Quelltext bisher nicht den erwarteten Sicherheitsstandards entspreche. Ein überstürzter Start könne das Vertrauen in künftige Projekte wie die digitale Identität EUDI untergraben.

Daneben scheint die von der Kommissionschefin versprochene Anonymität fraglich. Experten wie Anja Lehmann vom Hasso-Plattner-Institut widersprechen. Da die App auf Pseudonyme setzt, könnten Website-Betreiber Nutzeraktivitäten über längere Zeiträume verknüpfen. Ein Werbevideo sorgt für Irritation: Es zeigt einen biometrischen Abgleich zwischen Gesichtsscan und Ausweisdokument – ein Verfahren, das von der Leyen bei Plattformbetreibern stets abgelehnt hatte. Judith Simon von der Universität Hamburg mahnt, die Unverknüpfbarkeit sei die Voraussetzung für echte Privatsphäre.

Viele Experten fragen sich, warum die EU eine parallele Infrastruktur zur bereits geplanten EUDI aufbaut. Lehmann hält eine separate App für „wenig sinnvoll“, da sie in wichtigen Sicherheitskriterien von etablierten Standards abweiche. Thomas Lohninger von der NGO Epicenter.works mahnt, die Kommission müsse ihre Initiative überdenken und sich auf die überfällige Durchsetzung bestehender Online-Gesetze konzentrieren.

Nicht zuletzt bleibt das Problem der Wirksamkeit. Tibor Jager von der Uni Wuppertal bezeichnet die Altersprüfung als „trivial zu umgehen“. Mittels VPN-Diensten ließe sich ein Standort außerhalb der EU vortäuschen, wo die Regeln nicht greifen. Der Forscher plädiert statt technischer Barrieren für „digitale Verkehrserziehung“. Die Kommission hält indes am Zeitplan fest. Acht Staatschefs unterstützen den Vorstoß prinzipiell, um soziale Medien für Minderjährige einzuschränken. Da die App noch nicht im regulären Einsatz ist, bleibt Zeit für Korrekturen. Der Weg zum „Goldstandard für Privatsphäre“ ist noch weit.

(mki)

Die Windows-Sicherheitsupdates insbesondere für Server aus dem April haben teils schwerwiegende Nebenwirkungen. Einige Windows-Server starten unerwartet neu. Außerdem gibt es Hinweise, dass Domain-Admin-Logins unter Umständen gestört sein könnten. Ein Problem mit unerwarteten Migrationen zu Server 2025 hat Microsoft hingegen gelöst.

Microsoft räumt im Message Center der Windows-Release-Health-Notizen einige der Probleme ein. Nach der Installation des Sicherheitsupdates KB5082063 können „non-Global Catalog“ Domänen-Controller in Umgebungen mit privilegierter Zugangsverwaltung (Privileged Access Management, PAM) Abstürze des LSASS-Dienstes erleiden. In der Folge starten die Server wiederholt neu, wodurch Authentifizierung und Directory-Services nicht laufen – die Domäne ist dann nicht verfügbar. Betroffen sind alle Windows-Server ab Version 2016. Ein Gegenmittel rückt der Microsoft-Business-Support nur auf Anfrage raus. Die Entwickler arbeiten jedoch an einem automatischen Update, um das zu korrigieren.

Uns erreichte ein Leserhinweis, demzufolge es nach den April-Sicherheitsupdates möglicherweise Probleme mit der Anmeldung als Domain-Admin gibt. Laut Fehlermeldung sei das Passwort falsch. Das trat auf mehreren Windows Server 2025 DCE auf. Ein Passwort-Reset mittels der „utilman.exe“-Methode hilft in der Situation. Dahinter verbirgt sich das Umbenennen der „utilman.exe“ aus dem Systemverzeichnis und das Umkopieren von „cmd.exe“ in „utilman.exe“ von einer Boot-DVD aus. Nach dem Systemneustart führt der Aufruf der Optionen zur erleichterten Bedienung dadurch zum Öffnen einer Eingabeaufforderung, an der sich mittels net user das Passwort ändern und anschließend nutzen lässt.

Windows-Updates: Auch gelöste Probleme

Es gibt aber auch gute Nachrichten. Microsoft hat die optionalen Upgrades auf Windows Server 2025 wieder scharfgeschaltet. Im November 2024 hatte das Unternehmen das Angebot gestoppt, da dadurch unerwartet und ungeplant einige Server selbständig auf Windows Server 2025 migriert haben. Das betraf insbesondere Umgebungen, die die Softwareverwaltung mit Tools von nicht genannten Drittanbietern verwalten. Laut Eintrag im Message-Center konnten die Entwickler das Problem jetzt aber lösen, Windows Server 2025 steht nun wieder als optionales Update zur Verfügung.

(dmk)