### CVE-2026-33032の活発な悪用 **Nginx**サーバーを管理するためのオープンソースWebインターフェイスである**nginx-ui**における重大なセキュリティ上の欠陥が、現在活発に悪用されています。この脆弱性、**CVE-2026-33032**（CVSSスコア：9.8）は認証バイパスであり、攻撃者は**Nginx**サービスを完全に制御できるようになります。**Pluto Security**はこの脆弱性を**MCPwn**と名付けました。 ### 技術的詳細 **nginx-ui**のMCP（Model Context Protocol）統合は、`/mcp`と`/mcp_message`の2つのHTTPエンドポイントを公開しています。アドバイザリによると、`/mcp`はIPホワイトリストと認証の両方を必要としますが、`/mcp_message`エンドポイントはIPホワイトリストのみを強制します。デフォルトのIPホワイトリストは空であり、これはミドルウェアによって「すべて許可」と解釈されます。 これは、ネットワーク上の任意の攻撃者が、**Nginx**の再起動、**Nginx**設定ファイルの作成、変更、削除、および自動設定リロードのトリガーなど、認証なしで全てのMCPツールを呼び出せることを意味し、これにより完全な**Nginx**サービス乗っ取りが可能になります。 ### 攻撃ベクトル **Pluto Security**の研究者Yotam Perkal氏によると、この攻撃は2つのリクエストを通じて数秒で完全な乗っ取りを可能にします。 * セッションを確立し、セッションIDを取得するための`/mcp`エンドポイントへのHTTP GETリクエスト。 * セッションIDを使用して、認証なしで任意のMCPツールを呼び出すための`/mcp_message`エンドポイントへのHTTP POSTリクエスト。  攻撃が成功すると、攻撃者は**Nginx**設定ファイルを変更し、サーバーをリロードできるようになります。さらに、攻撃者はすべてのトラフィックを傍受し、管理者資格情報をHarvest（収集）することができます。 ### 緩和策 この脆弱性は、2026年3月15日にリリースされたバージョン2.3.4で修正されました。ユーザーは直ちにアップグレードすることが推奨されます。回避策として、ユーザーは`/mcp_message`エンドポイントに`middleware.AuthRequired()`を追加して認証を強制するか、IP許可リストのデフォルト動作を「すべて許可」から「すべて拒否」に変更することができます。 ### 実際の悪用 **Recorded Future**は、**CVE-2026-33032**を、2026年3月に脅威アクターによって活発に悪用された31の脆弱性の1つとしてリストアップしました。現在、具体的な悪用活動に関する詳細な洞察はありません。 ### 露出したインスタンス **Shodan**のデータによると、インターネット上には約2,689の露出したインスタンスがあり、主に中国、米国、インドネシア、ドイツ、香港に位置しています。 **Pluto Security**は、**nginx-ui**を実行している組織に対し、これを緊急事態として扱うようアドバイスしています。直ちにバージョン2.3.4に更新するか、MCP機能を無効にし、一時的な対策としてネットワークアクセスを制限してください。 ### 関連する脆弱性 この開示は、**Atlassian** MCPサーバー（"mcp-atlassian"）における2つのセキュリティ上の欠陥の発見に続いており、これらを連鎖させることでリモートコード実行（RCE）が可能になる可能性があります。これらの欠陥は、**CVE-2026-27825**（CVSS 9.1）および**CVE-2026-27826**（CVSS 8.2）として追跡され、MCPwnfluenceと名付けられており、ローカルネットワーク上の任意の攻撃者が認証なしで脆弱なマシン上で任意のコードを実行できるようになります。 **Pluto Security**によると、両方の脆弱性を連鎖させることで、攻撃者はLANからMCPにリクエストを送信し、サーバーを攻撃者のマシンにリダイレクトさせ、添付ファイルをアップロードし、その後LANから完全な認証なしのRCEを受け取ることができます。