Önemli Güvenlik Açığı: CVE-2026-33032
Son zamanlarda, açık kaynaklı web tabanlı Nginx yönetim aracı olan nginx-ui’de kritik bir güvenlik açığı tespit edilmiştir. Bu açığın aktif olarak istismar edilmesi, sistem güvenliğini ciddi şekilde tehdit etmektedir.
Saldırı Nasıl Çalışıyor?
Güvenlik açığı CVE-2026-33032 olarak takip edilmektedir ve CVSS puanı 9.8 olarak değerlendirilmiştir. Bu açık, bir kimlik doğrulama atlatma zafiyetidir ve kötü niyetli aktörlerin Nginx hizmetine hâkim olmasına olanak tanır. Pluto Security tarafından MCPwn kod adıyla anılan bu zafiyet, nginx-ui’nin MCP (Model Context Protocol) entegrasyonuna dayanır. İki HTTP uç noktası bulunmaktadır: /mcp ve /mcp_message.
- /mcp uç noktası, IP beyaz listesi ve kimlik doğrulama (AuthRequired() middleware) gerektirirken, /mcp_message uç noktası yalnızca IP beyaz listesi uygulamaktadır. Varsayılan IP beyaz listesi boştur, bu da middleware tarafından “tüm izinli” olarak değerlendirilir.
Bu durum, her türlü ağ saldırganının kimlik doğrulaması olmadan tüm MCP araçlarını kullanmasına olanak tanımaktadır. Kötü niyetli kişiler, Nginx hizmetini ele geçirmek için şu şekilde hareket edebilir:
- /mcp uç noktasına bir HTTP GET isteği göndererek oturum açar ve oturum kimliğini alır.
- /mcp_message uç noktasına, oturum kimliği kullanarak HTTP POST isteği gönderirler.
Bu saldırı, birden fazla yöntemi kullanarak Nginx yapılandırma dosyalarını değiştirmeye veya sunucuyu yeniden başlatmaya imkan tanımaktadır.
Etkilenen Sistemler
Yapılan analizlere göre, dünya genelinde yaklaşık 2,689 exposed nginx-ui örneği bulunmaktadır. En çok etkilenen bölgeler arasında Çin, ABD, Endonezya, Almanya ve Hong Kong yer almaktadır. Bu durum, yamanmamış dağıtımlar için acil bir tehdit oluşturmaktadır.
Çözüm ve Korunma
Bu güvenlik açığının giderilmesi için 2.3.4 versiyonu, 15 Mart 2026 tarihinde yayınlanmıştır. Kullanıcılara aşağıdaki önerilere uyulması tavsiye edilmektedir:
- /mcp_message uç noktasına “middleware.AuthRequired()” ekleyerek kimlik doğrulamayı zorlayın.
- Varsayılan IP beyaz listeleme davranışını “allow-all” yerine “deny-all” olarak değiştirin.
Pluto Security, güvenlik açığının potansiyel olarak kötüye kullanma riski taşıdığını belirtmiştir ve kuruluşların hemen 2.3.4 versiyonuna geçmeleri veya MCP fonksiyonelliğini devre dışı bırakmaları gerektiğini vurgulamıştır.
Sonuç
Kuruluşunuzda nginx-ui kullanıyorsanız, acilen 2.3.4 versiyonuna güncelleyin veya MCP işlevselliğini devre dışı bırakın. İlgili IP kısıtlamalarını gözden geçirerek güvenlik önlemlerinizi artırmayı unutmayın. Güvenliğinizi sağlamak için gerekli adımları atmanız son derece önemlidir.
