Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Lyrie Research · 12.5., 20:36 · sikkerhet

NGINX MCP-integrasjon med kritisk RCE: 2 600 servere åpne for uautentisert overtakelse

SYNOPSIS_GENERERT

Adversa AI offentliggjorde CVE-2026-33032 (CVSS 9.8) i nginx-ui MCP-integrasjonen. 2 600 servere er eksponert på offentlig nett uten autentisering, ifølge Shodan-skan.

Adversa AI har offentliggjort CVE-2026-33032 (CVSS 9.8) i nginx-ui MCP-endepunktintegrasjon, en svakhet i hvordan NGINX behandler MCP-verktøykall fra KI-agenter. Sårbarheten lar en angriper uten innlogging sende en spesielt utformet HTTP-forespørsel til /api/mcp/invoke, som gir kommandoinjeksjon med NGINX-prosessens rettigheter. I containere kjører NGINX ofte som root.

Shodan-skan utført som del av Adversas mai-sweep fant minst 2 600 nginx-ui MCP-instanser eksponert på det offentlige internett, mange uten autentisering eller nettverksisolering. Bredden er bemerkelsesverdig: integrasjonen er brukt av Claudes egne MCP-serveroppsett, OpenAIs agentverktøyskjeder og Anthropics offisielle MCP-eksempler.

«MCP-endepunktet er designet for å bli kalt av KI-agenter, så det er bevisst tillatt for uautentisert trafikk. Det er problemet, ikke en bug i konfigurasjon.» — Adversa AI, Top MCP Security Resources mai 2026

Den arkitektoniske leksen er at NGINX som «sikkerhetsgrense» foran MCP-servere er en illusjon hvis selve MCP-integrasjonsmodulen er sårbar. WAF-regler oppstrøms hjelper ikke når endepunktet selv er feilen. Når MCP-serveren i tillegg har bredt IAM-omfang for å kjøre verktøy på agentens vegne, blir kommandoinjeksjonen til container-to-host-escape i Kubernetes-miljøer.

For deg som driver MCP-servere bak NGINX som reverse proxy: trekk dem av det offentlige internett umiddelbart. mTLS mellom agent og MCP-server er minimumstiltaket. Du bør også begrense IAM-rollen MCP-serveren har. Den trenger sjelden admin-tilgang for å kalle de faktiske verktøyene.

Hva bør du gjøre?

  1. Skann din egen infrastruktur med Shodan: port:8080 nginx mcp mot dine IP-blokker. Treff = trekk endepunktet fra offentlig nett samme dag.
  2. Sett opp mTLS mellom agent og MCP-server. Klar-tekst HTTP er ikke nok når endepunktet kan eksekvere kommandoer.
  3. Auditer IAM-rollene til alle MCP-servere du driver. Begrens til de spesifikke verktøyene som faktisk kalles. Ikke administrator-omfang som default.
  4. Søk i logger etter /api/mcp/invoke-kall med shell-metakarakterer (; | & < > $()) i JSON-parametre de siste 30 dagene. Mistenkelig trafikk = forutsett kompromittering og roter alle credentials MCP-serveren har tilgang til.
Åpne eksternt kildedokument
sikkerhetMCPagenter

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN