Siber Güvenlik

Kritik Açık: nginx-ui Hatası (CVE-2026-33032) Sunucu Ele Geçiriyor

teknomers
teknomers

Önemli Güvenlik Açığı: CVE-2026-33032

Son zamanlarda, açık kaynaklı web tabanlı Nginx yönetim aracı olan nginx-ui’de kritik bir güvenlik açığı tespit edilmiştir. Bu açığın aktif olarak istismar edilmesi, sistem güvenliğini ciddi şekilde tehdit etmektedir.

Contents

Saldırı Nasıl Çalışıyor?

Güvenlik açığı CVE-2026-33032 olarak takip edilmektedir ve CVSS puanı 9.8 olarak değerlendirilmiştir. Bu açık, bir kimlik doğrulama atlatma zafiyetidir ve kötü niyetli aktörlerin Nginx hizmetine hâkim olmasına olanak tanır. Pluto Security tarafından MCPwn kod adıyla anılan bu zafiyet, nginx-ui’nin MCP (Model Context Protocol) entegrasyonuna dayanır. İki HTTP uç noktası bulunmaktadır: /mcp ve /mcp_message.

  • /mcp uç noktası, IP beyaz listesi ve kimlik doğrulama (AuthRequired() middleware) gerektirirken, /mcp_message uç noktası yalnızca IP beyaz listesi uygulamaktadır. Varsayılan IP beyaz listesi boştur, bu da middleware tarafından “tüm izinli” olarak değerlendirilir.

Bu durum, her türlü ağ saldırganının kimlik doğrulaması olmadan tüm MCP araçlarını kullanmasına olanak tanımaktadır. Kötü niyetli kişiler, Nginx hizmetini ele geçirmek için şu şekilde hareket edebilir:

  • /mcp uç noktasına bir HTTP GET isteği göndererek oturum açar ve oturum kimliğini alır.
  • /mcp_message uç noktasına, oturum kimliği kullanarak HTTP POST isteği gönderirler.

Bu saldırı, birden fazla yöntemi kullanarak Nginx yapılandırma dosyalarını değiştirmeye veya sunucuyu yeniden başlatmaya imkan tanımaktadır.

Etkilenen Sistemler

Yapılan analizlere göre, dünya genelinde yaklaşık 2,689 exposed nginx-ui örneği bulunmaktadır. En çok etkilenen bölgeler arasında Çin, ABD, Endonezya, Almanya ve Hong Kong yer almaktadır. Bu durum, yamanmamış dağıtımlar için acil bir tehdit oluşturmaktadır.

Çözüm ve Korunma

Bu güvenlik açığının giderilmesi için 2.3.4 versiyonu, 15 Mart 2026 tarihinde yayınlanmıştır. Kullanıcılara aşağıdaki önerilere uyulması tavsiye edilmektedir:

  • /mcp_message uç noktasına “middleware.AuthRequired()” ekleyerek kimlik doğrulamayı zorlayın.
  • Varsayılan IP beyaz listeleme davranışını “allow-all” yerine “deny-all” olarak değiştirin.

Pluto Security, güvenlik açığının potansiyel olarak kötüye kullanma riski taşıdığını belirtmiştir ve kuruluşların hemen 2.3.4 versiyonuna geçmeleri veya MCP fonksiyonelliğini devre dışı bırakmaları gerektiğini vurgulamıştır.

Sonuç

Kuruluşunuzda nginx-ui kullanıyorsanız, acilen 2.3.4 versiyonuna güncelleyin veya MCP işlevselliğini devre dışı bırakın. İlgili IP kısıtlamalarını gözden geçirerek güvenlik önlemlerinizi artırmayı unutmayın. Güvenliğinizi sağlamak için gerekli adımları atmanız son derece önemlidir.

Gizlilik Sorunları Küresel Instagram Konularının Lansmanını Durduruyor
Windows 11 KB5083631 Güncellemesi: Acil 34 Değişiklik ve Düzeltme!
Google, “kritik” Android 12 güvenlik açığını düzeltir
Acil: Microsoft Word’de ‘Send to Kindle’ Özelliği İle Veda Zamanı
OpenAI’nin konuşma tanıma sistemi olan Whisper, açık kaynak kodlu hale geliyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Adobe’nin yeni Firefly AI asistanı, Creative Cloud uygulamalarıyla işlerinizi kolaylaştırıyor
Sonraki Makale Walmart 4K Akış Kutusunu Gemini ve Matter Desteğiyle Güncelliyor

Sanal Medya

Son Eklenenler

Kabuto Park Yaz Tatilinin Geçiciliğini Yakalıyor
Liste
Velotric Nomad 2: Stabilite ve Performansla Off-Road Keyfi!
Genel
Gigabyte Z890 Aorus Elite Wifi7 Plus Anakart İncelemesi: Uygun Fiyatlı Yenilikler
Donanım
Apple’ın Yeni Siri’si Yeniden Aramızda
Liste
2026’nın En İyi 2 Bluetooth Takip Cihazı ve Öne Çıkanlar
Genel
G.Skill, AMD EXPO ULL ile performans artışını nasıl sağlıyor?
Donanım