Krytyczna luka w Nginx UI pozwala pobrać i odszyfrować backup serwera bez logowania - Security Bez Tabu

Krytyczna luka w Nginx UI pozwala pobrać i odszyfrować backup serwera bez logowania

Cybersecurity news

Wprowadzenie do problemu / definicja

W Nginx UI ujawniono krytyczną podatność oznaczoną jako CVE-2026-27944, która umożliwia nieautoryzowanemu atakującemu pobranie pełnej kopii zapasowej środowiska zarządzanego przez panel, a następnie jej odszyfrowanie. Problem dotyczy interfejsu administracyjnego wykorzystywanego do zarządzania konfiguracją Nginx i ma szczególnie duże znaczenie tam, gdzie panel został wystawiony bezpośrednio do Internetu.

Skala zagrożenia wynika z połączenia dwóch błędów: braku uwierzytelnienia dla funkcji generowania backupu oraz ujawniania materiału kryptograficznego potrzebnego do odszyfrowania archiwum. W praktyce oznacza to możliwość przejęcia bardzo wrażliwych danych operacyjnych bez potrzeby posiadania konta w systemie.

W skrócie

Podatność otrzymała ocenę CVSS 9.8, co klasyfikuje ją jako krytyczną. Według dostępnych informacji zagrożone są wersje Nginx UI wcześniejsze niż 2.3.2, a poprawkę wskazano w gałęzi 2.3.3.

  • atak nie wymaga uwierzytelnienia,
  • endpoint backupu był dostępny publicznie,
  • nagłówek odpowiedzi ujawniał klucz AES-256 i IV,
  • backup mógł zawierać poświadczenia, tokeny, konfiguracje, certyfikaty i klucze prywatne,
  • dostępny proof-of-concept zwiększa ryzyko szybkiego wykorzystania luki.

Kontekst / historia

Nginx UI to webowy panel administracyjny upraszczający zarządzanie serwerami Nginx z poziomu interfejsu graficznego. Narzędzia tego typu są popularne w środowiskach produkcyjnych, ponieważ przyspieszają konfigurację hostów wirtualnych, reverse proxy, certyfikatów i innych elementów warstwy HTTP.

Jednocześnie takie rozwiązania zwiększają powierzchnię ataku. Łączą bowiem funkcje administracyjne, dostęp do konfiguracji, dane uwierzytelniające i mechanizmy eksportu lub backupu w jednym komponencie dostępnym przez sieć. W przypadku CVE-2026-27944 doszło do kumulacji dwóch błędów architektonicznych, które razem doprowadziły do pełnego obejścia ochrony danych.

Publiczne ujawnienie podatności na początku marca 2026 roku zwróciło uwagę na częsty problem w panelach administracyjnych: funkcje backupu bywają traktowane jako pomocnicze, mimo że w praktyce zapewniają dostęp do najcenniejszych informacji o całym środowisku.

Analiza techniczna

Rdzeniem problemu był endpoint /api/backup, który nie wymagał uwierzytelnienia. Każdy podmiot mający łączność sieciową z panelem mógł wywołać funkcję tworzenia kopii zapasowej i pobrać archiwum zawierające dane aplikacji oraz konfiguracje serwera.

Drugim elementem podatności było ujawnianie w odpowiedzi HTTP nagłówka X-Backup-Security. Zawierał on zakodowany klucz AES-256 oraz wektor inicjalizacyjny IV potrzebne do odszyfrowania pobranego archiwum. Oznacza to, że szyfrowanie backupu nie zapewniało realnej ochrony, ponieważ dane potrzebne do deszyfracji były przekazywane temu samemu nieautoryzowanemu klientowi.

Z ujawnionych informacji wynika, że backup mógł obejmować bazę danych aplikacji, pliki konfiguracyjne, certyfikaty serwera, prywatne klucze SSL, ustawienia hostów wirtualnych, konfiguracje reverse proxy, konta administracyjne oraz tokeny sesyjne. Taki zestaw danych daje atakującemu zarówno natychmiastowy wgląd w infrastrukturę, jak i możliwość przejścia do kolejnych etapów kompromitacji.

Dodatkowym czynnikiem ryzyka jest opublikowanie kodu proof-of-concept. Gdy luka nie wymaga logowania i jest łatwa do zautomatyzowania, rośnie prawdopodobieństwo masowego skanowania Internetu oraz opportunistycznych ataków wymierzonych w publicznie dostępne instancje.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem CVE-2026-27944 jest pełne ujawnienie poufnych danych operacyjnych. Przejęcie kopii zapasowej może otworzyć drogę do dalszych ataków na warstwę aplikacyjną, infrastrukturę sieciową oraz systemy powiązane z tym samym środowiskiem administracyjnym.

  • kompromitacja kont administracyjnych w Nginx UI,
  • przejęcie aktywnych sesji,
  • odczyt sekretów aplikacyjnych i danych konfiguracyjnych,
  • podszywanie się pod serwisy dzięki przejętym kluczom prywatnym,
  • modyfikacja routingu ruchu i ustawień reverse proxy,
  • przygotowanie ataków typu man-in-the-middle,
  • rozpoznanie architektury wewnętrznej i zależności usług.

W środowiskach produkcyjnych oznacza to ryzyko naruszenia poufności, integralności i dostępności jednocześnie. Atakujący, który pozyska konfigurację Nginx, dane użytkowników i klucze SSL, może nie tylko analizować topologię systemów, ale także aktywnie wpływać na ruch i przygotowywać kolejne działania ofensywne.

Szczególnie narażone są organizacje, które udostępniły interfejs zarządzania publicznie, bez segmentacji sieci, VPN, list kontroli dostępu lub dodatkowego uwierzytelniania wieloskładnikowego. W takich przypadkach wykorzystanie luki może nastąpić zdalnie i praktycznie natychmiast.

Rekomendacje

Administratorzy korzystający z Nginx UI powinni niezwłocznie sprawdzić używaną wersję i przeprowadzić aktualizację do wydania naprawiającego problem lub nowszego. Samo wdrożenie poprawki nie powinno jednak kończyć procesu reagowania, ponieważ wcześniej mogło dojść do pobrania backupów przez nieuprawnione podmioty.

  • zaktualizować Nginx UI do bezpiecznej wersji,
  • odciąć publiczny dostęp do panelu administracyjnego,
  • ograniczyć dostęp wyłącznie przez VPN, sieć prywatną lub tunel administracyjny,
  • wdrożyć listy dozwolonych adresów IP dla interfejsu zarządzania,
  • wymusić silne uwierzytelnianie i MFA,
  • przeprowadzić rotację wszystkich sekretów, które mogły znaleźć się w backupach,
  • wymienić klucze prywatne i certyfikaty, jeśli istniało ryzyko ich ujawnienia,
  • unieważnić tokeny sesyjne i zresetować hasła kont administracyjnych,
  • przejrzeć logi HTTP oraz logi aplikacyjne pod kątem żądań do /api/backup,
  • zweryfikować integralność konfiguracji Nginx i reguł routingu,
  • skontrolować ekspozycję innych endpointów administracyjnych oraz funkcji eksportu danych.

Jeżeli panel był dostępny z Internetu, incydent należy traktować jako potencjalne naruszenie bezpieczeństwa. Brak widocznych śladów nadużycia w logach nie daje pewności, że backup nie został wcześniej pobrany.

Podsumowanie

CVE-2026-27944 to przykład wyjątkowo groźnej podatności wynikającej z połączenia błędów kontroli dostępu i niewłaściwego obchodzenia się z materiałem kryptograficznym. Wystawienie funkcji backupu bez uwierzytelnienia stanowiło poważne zagrożenie samo w sobie, a równoczesne ujawnienie klucza i IV w nagłówku HTTP całkowicie zniwelowało sens szyfrowania archiwum.

Dla organizacji wykorzystujących Nginx UI oznacza to konieczność natychmiastowej aktualizacji, ograniczenia ekspozycji panelu oraz oceny, czy poufne dane środowiska nie zostały już ujawnione. W praktyce jest to luka, którą należy traktować priorytetowo zarówno w procesie patch management, jak i w działaniach powłamaniowych.

Źródła

  1. Security Affairs — https://securityaffairs.com/189123/security/critical-nginx-ui-flaw-cve-2026-27944-exposes-server-backups.html
  2. GitHub Security Advisory: Unauthenticated Backup Download with Encryption Key Disclosure — https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-g9w5-qffc-6762
  3. NVD — CVE-2026-27944 — https://nvd.nist.gov/vuln/detail/CVE-2026-27944