Diferença Fundamental: Nginx UI não é o Nginx

O Nginx é um servidor web e proxy reverso de alto desempenho, mantido pela F5/Nginx Inc., usado globalmente para hospedagem e balanceamento de carga. O Nginx UI, por outro lado, é um projeto de terceiros (GitHub 0xJacky/nginx-ui), uma interface gráfica opcional que roda separadamente para facilitar a administração visual do Nginx.

Confirmação de Exposição

• Usuários de apenas Nginx: Imunes, pois a falha está no endpoint /api/backup do Nginx UI, ausente no servidor principal.

• Usuários de Nginx + Nginx UI: Vulneráveis se a versão for anterior a 2.3.4; verifique processos na porta 9000 ou Docker images

Detalhes Técnicos

O Nginx UI,  apresenta falhas em versões anteriores à 2.3.4, onde o endpoint de backup carece de autenticação adequada e expõe chaves de criptografia. Isso possibilita o download não autorizado de backups completos do sistema, contendo credenciais, tokens de sessão, chaves SSL privadas e configurações sensíveis.

O ataque à vulnerabilidade CVE-2026-33026 (e relacionadas, como CVE-2026-27944) no Nginx UI é remoto e não requer autenticação.

Detalhes do Vetor de Ataque

Atacantes remotos podem explorar o endpoint /api/backup exposto na interface web (geralmente na porta TCP/9000), enviando requisições HTTP simples para baixar backups completos do sistema, incluindo chaves de criptografia no header X-Backup-Security. Isso permite descriptografia imediata de dados sensíveis como credenciais, chaves SSL e configurações, sem necessidade de credenciais ou acesso local.

Condições para Exploração Remota

• A interface Nginx UI deve estar acessível pela internet ou rede externa (ex.: sem firewall ou VPN restritiva).

• PoCs públicas usam scripts Python para automação remota via curl ou requests.

Contexto da Divulgação

A vulnerabilidade foi reportada inicialmente entre  4 a 8 de março de 2026, com PoCs para exploits relacionados (como CVE-2026-27944) já disponíveis desde então em plataformas como Snyk e GitHub.

A versão específica CVE-2026-33026, focada em manipulação de backups, teve PoC confirmada em feeds de vulnerabilidades datados de 29 a 31 de março.

Impacto e Exploração

A exploração resulta em divulgação de dados sensíveis, potencial controle da interface de gerenciamento e ataques como man-in-the-middle. Provas de conceito (PoCs) públicas já foram divulgadas, facilitando ataques automatizados via scripts Python que baixam, descriptografam e extraem os arquivos.

Solução e Mitigações

Solução: Atualize imediatamente para a versão 2.3.4 ou superior, que corrige a ausência de sincronização e autenticação.

Mitigação: Restrinja acesso à interface de gerenciamento via redes privadas, VPNs ou listas de IP permitidos, e roteie credenciais expostas.