Jetzt patchen nginx-ui! Angreifer übernehmen Kontrolle über Nginx-Server

Sicherheitsforscher warnen vor weltweiten Attacken auf Nginx-Webserver. Dabei erlangen Angreifer die volle Kontrolle über Server. Die Sicherheitslücke steckt im Web-Managementtool nginx-ui. Ein Sicherheitspatch ist seit März dieses Jahres verfügbar, aber offensichtlich noch nicht flächendeckend installiert.

Auch hierzulande sind den Forschern zufolge noch verwundbare Instanzen öffentlich über das Internet erreichbar. In welchem Umfang die Attacken ablaufen, ist aber derzeit unklar.

Hintergründe

Die „kritische“ Schwachstelle (CVE-2026-33032) betrifft einer Warnmeldung zufolge nginx-ui MCP (Model Context Protocol). Weil über /mcp_message erreichbare HTTP-Endpoints ohne Authentifizierung ansprechbar sind, können entfernte Angreifer mit präparierten HTTP-Anfragen an der Schwachstelle ansetzen. Im Anschluss können sie unter anderem Konfigurationen ändern und so die volle Kontrolle über Instanzen erlangen.

Vor den Attacken warnen unter anderem Sicherheitsforscher von Pluto in einem Bericht. Darin zeigen sie ausführlich, wie Attacken ablaufen und wie sich das Sicherheitsproblem zusammensetzt. Zusätzlich geben sie an, dass sie über die Suchmaschine Shodan weltweit auf fast 2700 verwundbare, über das Internet erreichbare Instanzen gestoßen sind. Der Großteil davon ist in China und den USA. In Deutschland sind es dem Scan zufolge 235 Instanzen.

Jetzt Sicherheitsupdate installieren!

Die dagegen abgesicherte nginx-ui-Version v.2.3.4 steht seit Mitte März dieses Jahres zum Download. Aktuell ist die Ausgabe v.2.3.6. Serveradmins sollten umgehend reagieren. Wer den Sicherheitspatch nicht sofort installieren kann, sollte für einen temporären Schutz MCP deaktivieren.

Im Beitrag der Sicherheitsforscher finden Admins Hinweise, woran sie bereits erfolgreich attackierte Systeme erkennen können.

Siehe auch:

• Nginx UI: Download schnell und sicher von heise.de

(des)