Nginx UI’da Kritik CVE-2026-33032 Açığı: Aktif Saldırılarla Sunucuların Tam Kontrolü Ele Geçiriliyor
Nginx UI’da tespit edilen kritik CVE-2026-33032 açığı, kimlik doğrulama olmadan sunucu kontrolünün ele geçirilmesine olanak tanıyor. Güvenlik firmaları açığın aktif olarak istismar edildiğini belirtirken, binlerce sistemin risk altında olduğu uyarısı yapıldı.
Nginx UI için geliştirilen yönetim arayüzünde ortaya çıkan kritik güvenlik açığının aktif olarak istismar edildiği bildirildi. CVE-2026-33032 olarak takip edilen açık, kimlik doğrulama olmadan tam sunucu kontrolü sağlanmasına imkan tanıyor.
ABD Ulusal Güvenlik Açıkları Veritabanı’nda (NVD) yer alan açıklamada, “Herhangi bir ağ saldırganı, kimlik doğrulama olmadan tüm MCP araçlarını çalıştırabilir ve nginx hizmetini tamamen ele geçirebilir.” ifadelerine yer verildi.
Korumasız Uç Nokta Kritik Risk Oluşturdu
Açığın, Nginx UI içinde bulunan “/mcp_message” uç noktasının korunmamasından kaynaklandığı belirtildi. Bu zafiyet sayesinde saldırganların, ayrıcalıklı Model Context Protocol (MCP) işlemlerini yetkisiz şekilde çalıştırabildiği kaydedildi.
Bu işlemler arasında nginx yapılandırma dosyalarını değiştirme, silme, yeniden oluşturma ve servisi yeniden başlatma gibi kritik yetkilerin bulunduğu aktarıldı. Uzmanlar, tek bir kimliksiz isteğin bile sunucu davranışını tamamen değiştirebildiğini vurguladı.
Aktif İstismar ve Yaygın Risk
Tehdit istihbarat şirketi Recorded Future, söz konusu açığın halihazırda saldırganlar tarafından aktif şekilde kullanıldığını açıkladı. Pluto Security AI tarafından yapılan internet taramalarında, yaklaşık 2.600 açık Nginx UI örneğinin saldırıya açık olduğu tespit edildi.
Bu sistemlerin büyük bölümünün Çin, ABD, Endonezya, Almanya ve Hong Kong’da bulunduğu belirtildi.
Pluto Security’den Yotam Perkal, saldırının teknik işleyişine ilişkin, “Saldırı yalnızca ağ erişimi gerektiriyor ve SSE bağlantısı üzerinden MCP oturumu başlatılarak gerçekleştiriliyor.” değerlendirmesinde bulundu.
Saldırı Nasıl Gerçekleşiyor?
Güvenlik raporlarına göre saldırganlar, kimlik doğrulama olmadan hedef sisteme bağlanarak MCP oturumu açıyor ve elde ettikleri “sessionID” ile komut gönderiyor.
Bu yöntemle saldırganların;
- Yapılandırma dosyalarını okuma ve dışa aktarma
- Zararlı yapılandırma ekleme
- Nginx’i yeniden yükleme
- Sistemi tamamen kontrol altına alma
gibi işlemleri gerçekleştirebildiği ifade edildi.
Güncelleme Çağrısı
Nginx UI, açığın keşfedilmesinin ardından 2.3.4 sürümüyle ilk düzeltmeyi yayımladı. Daha sonra yayınlanan teknik detaylar ve örnek saldırı kodları (PoC) sonrası riskin arttığı belirtildi.
Uzmanlar, en güncel güvenli sürüm olan 2.3.6’nın derhal yüklenmesi gerektiğini vurgulayarak sistem yöneticilerine acil güncelleme çağrısında bulundu.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
