Falha crítica explorada ativamente permite controlo de servidores

Uma vulnerabilidade crítica no Nginx UI está a ser explorada ativamente, permitindo a tomada de controlo total de servidores sem necessidade de autenticação.

A falha, identificada como CVE-2026-33032, resulta da exposição de um endpoint, que não exige credenciais e permite a execução de ações privilegiadas através do Model Context Protocol (MCP).

Segundo o NIST, qualquer atacante com acesso à rede pode explorar esta vulnerabilidade para reiniciar serviços, modificar ou eliminar ficheiros de configuração do Nginx e forçar o recarregamento automático do sistema, comprometendo completamente o servidor.

O problema foi corrigido na versão 2.3.4 do Nginx UI, lançada a 15 de março, pouco depois da sua identificação pela Pluto Security. No entanto, a divulgação pública de detalhes técnicos e de uma proof-of-concept veio facilitar a exploração, que já foi confirmada pela Recorded Future.

O Nginx UI é uma interface web popular para gestão de servidores Nginx, com forte adoção na comunidade, contando com milhares de utilizadores e implementações ativas.

De acordo com dados da Pluto Security, cerca de 2.600 instâncias continuam expostas publicamente e potencialmente vulneráveis, com maior incidência em países como China, Estados Unidos, Indonésia, Alemanha e Hong Kong.

A exploração é relativamente simples e exige apenas acesso de rede. Os atacantes podem estabelecer uma sessão MCP e utilizar o identificador gerado para enviar comandos ao endpoint vulnerável, sem qualquer autenticação.

Entre as ações possíveis estão a leitura e exfiltração de ficheiros de configuração, a injeção de configurações maliciosas e a alteração do comportamento do servidor, culminando no controlo total do serviço.

Face à gravidade da vulnerabilidade e à exploração ativa, os especialistas recomendam a atualização imediata para versões seguras do Nginx UI, sendo a versão 2.3.6 a mais recente disponível.