Deutsche Server gefährdet: Hacker kapern Nginx-Webserver über kritische Lücke
In Nginx UI, einem webbasierten Managementtool für die weitverbreitete Webserver-Software Nginx, klafft eine kritische Sicherheitslücke. Wie Forscher von Pluto Security in einem Blogbeitrag(öffnet im neuen Fenster) schildern, wird diese bereits aktiv ausgenutzt. Angreifer können durch einen einfachen HTTP-Request die vollständige Kontrolle über anfällige Systeme übernehmen. Weltweit sind Tausende Server betroffen, davon auch einige aus Deutschland.
Bei Nginx UI handelt es sich um ein Tool, das die Verwaltung von Nginx über ein Webinterface ermöglicht. Auf Github(öffnet im neuen Fenster) erreicht das mehr als 800 Mal geforkte Projekt 11.000 Sterne, beim Docker Hub(öffnet im neuen Fenster) kommt es auf über 450.000 Pulls. Damit ist Nginx UI zwar längst nicht auf jedem Nginx-Server vertreten, dennoch kann das Tool durchaus als populär bezeichnet werden.
Die eingangs genannte Sicherheitslücke bietet folglich eine nicht zu unterschätzende Angriffsfläche. Sie ist als CVE-2026-33032(öffnet im neuen Fenster) registriert und mit einem CVSS-Wert von 9,8 kritisch. Ursache ist laut Beschreibung(öffnet im neuen Fenster) ein Fehler in der MCP-Integration von Nginx UI, der dazu führt, dass die API-Endpunkte /mcp und /mcp_message offengelegt wurden. Beide sollten eigentlich geschützt sein.
Angriff mit nur einem API-Call
Bei /mcp wird immerhin noch eine Authentifizierung angefordert. Im Falle von /mcp_message entfällt diese Sicherheitsbarriere aber, so dass Angreifer ungehindert auf zahlreiche MCP-Tools zugreifen können. Dadurch lässt sich beispielsweise der Nginx-Server neu starten sowie die Webserver-Konfiguration manipulieren und neu laden. Angreifer können anfällige Systeme auf diesem Wege vollständig kompromittieren.
"Ein einziger nicht authentifizierter API-Aufruf reicht aus, um eine Konfiguration einzuschleusen und die Kontrolle über Nginx zu übernehmen", heißt es dazu bei Pluto Security. Über die Suchmaschine Shodan fanden die Forscher weltweit über 2600 anfällige Nginx-Server. Die meisten sind in China (702), den USA (426) und Indonesien (236) verortet. Deutschland folgt mit 235 Instanzen dicht dahinter auf Platz 4.
Immerhin steht seit Mitte März 2026 ein Patch für CVE-2026-33032 bereit. Nach Angaben der Sicherheitsforscher wurde dieser mit Version 2.3.4 eingeführt. Admins sollten also mindestens auf diese Version updaten, sofern sie noch 2.3.3 oder älter im Einsatz haben. Die derzeit neueste Version von Nginx UI(öffnet im neuen Fenster) trägt die Versionsnummer 2.3.6 und ist im Zweifel die bessere Wahl, da sie weitere sicherheitsrelevante Änderungen enthält.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.