شناسه CVE-2026-27944 :CVE
CWE-311, CWE-306 :CWE
yes :Advisory
منتشر شده: مارس 5, 2026
به روز شده: مارس 5, 2026
امتیاز: 9.8
نوع حمله: Authorization Bypass

اثر گذاری: Information Disclosure
حوزه: وب‌سرورها
برند: Nginx UI (0xJacky)
محصول: nginx-ui
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch نشده

چکیده

آسیب‌پذیری بحرانی در Nginx UI به مهاجمان این امکان را می‌دهد که بدون نیاز به احراز هویت از /api/backup نسخه پشتیبان کامل سیستم را دریافت کرده و کلیدهای رمزنگاری لازم برای رمزگشایی آن را از هدر پاسخ HTTP با نام X-Backup-Security استخراج کنند. این آسیب‌پذیری موجب افشای اطلاعات حساس شامل اعتبارنامه‌های کاربران، توکن‌های نشست، کلیدهای خصوصی SSL و پیکربندی‌های Nginx می‌شود.

توضیحات

آسیب‌پذیری CVE-2026-27944 ترکیبی از دو ضعف امنیتی بحرانی شامل عدم وجود احراز هویت در عملکرد حیاتی مطابق با CWE-306 و عدم وجود رمزنگاری مناسب برای داده‌های حساس مطابق با CWE-311 است. در بررسی‌های فنی صورت‌گرفته، در فایل api/backup/router.go مشخص می‌شود که مسیر مربوط به تهیه نسخه پشتیبان (/api/backup) به‌صورت اشتباه پیکربندی شده است. برخلاف مسیر بازیابی (/api/restore) که به‌درستی از میان‌افزارهای امنیتی استفاده می‌کند، این endpoint بدون هیچ‌گونه لایه حفاظتی یا بررسی نشست (session validation) رها شده است. این اشتباه در پیکربندی، باعث می‌شود که این endpoint به‌صورت عمومی در دسترس قرار گیرد و مهاجم می‌تواند به آن دسترسی پیدا کند.

اما نکته بحرانی‌تر این آسیب‌پذیری، در نحوه‌ی مدیریت کلیدهای رمزنگاری است. در تابع CreateBackup که در فایل api/backup/backup.go تعریف شده، پس از ایجاد فایل پشتیبان، کلید رمزنگاری AES-256 و بردار مقداردهی اولیه (IV) که برای رمزنگاری فایل‌ها استفاده شده، به‌صورت متن ساده و با کدگذاری Base64 در هدر پاسخ HTTP با نام X-Backup-Security به سمت کاربر ارسال می‌شود. این روش ارسال همزمان فایل رمزنگاری‌شده و کلید رمزگشایی آن در یک پاسخ HTTP، عملاً تمامی تلاش‌ها برای امنیت داده‌ها را بی‌اثر کرده و لایه رمزنگاری AES-256-CBC را به یک سد دفاعی غیرموثر تبدیل می‌کند. محتوای نسخه پشتیبان که در فایل‌های آرشیو nginx-ui.zip و nginx.zip سازماندهی شده است، شامل داده‌های حساس زیر می‌باشد:

پایگاه‌داده (db): حاوی اطلاعات هویتی کاربران، کلمات عبور و توکن‌های فعال نشست.
پیکربندی (ini): شامل تنظیمات داخلی اپلیکیشن و کلیدهای مخفی سیستمی.
گواهی‌های امنیتی (key / cert): شامل کلیدهای خصوصی SSL/TLS.
تنظیمات وب‌سرور (conf): شامل تمامی پیکربندی‌های مربوط به میزبان‌های مجازی (Virtual Hosts) و مسیرها.

این ضعف امنیتی به‌سادگی قابل بهره‌برداری است و مهاجم می‌تواند به‌سادگی و با استفاده از اسکریپت‌های خودکار، تنها با ارسال یک درخواست GET به مسیر /api/backup، هدر حاوی کلید را استخراج کرده و سپس با استفاده از کتابخانه‌هایی مانند pycryptodome در پایتون، فایل‌های پشتیبان را رمزگشایی کند. کد اثبات مفهومی (PoC) منتشرشده در GitHub به‌وضوح نشان می‌دهد که مهاجم می‌تواند تنها با داشتن آدرس هدف، تمام اطلاعات حساس را در کمتر از چند ثانیه استخراج کند.

پیامدهای این آسیب‌پذیری بسیار جدی و گسترده است. از بعد محرمانگی (Confidentiality)، تمامی داده‌های حساس سیستم مانند اعتبارنامه‌ها و اطلاعات پیکربندی افشا می‌شود. از بعد یکپارچگی (Integrity)، مهاجم می‌تواند به فایل‌های پیکربندی دسترسی پیدا کرده و تغییرات مخربی اعمال کند. در نهایت از بعد دسترس‌پذیری (Availability)، مهاجم با بازیابی نسخه‌های پشتیبان دستکاری‌شده، می‌تواند پایداری سیستم را به‌طور جدی تهدید کند. این آسیب‌پذیری با انتشار نسخه 2.3.3 پچ شده است. در نسخه مذکور، احراز هویت به مسیر مربوطه اضافه شده و شیوه‌ی مدیریت کلیدها به‌طور کامل اصلاح شده است.

CVSS

Score	Severity	Version	Vector String
9.8	CRITICAL	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions	Product
affected at < 2.3.3	nginx-ui

لیست محصولات بروز شده

Versions	Product
2.3.3	nginx-ui

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Nginx UI را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
44000	site:.ir “Nginx”	Nginx UI

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی، نمونه‌ای از ضعف در طراحی لایه‌های امنیتی است که ناشی از اعتماد بیش از حد به رمزنگاری در سمت کلاینت و نادیده گرفتن احراز هویت در سمت سرور می‌باشد. این ضعف امنیتی دسترسی کامل به کلیدهای خصوصی و اطلاعات حساس وب‌سرور را فراهم می‌کند و امکان بهره‌برداری آسان از آن را ایجاد می‌نماید. بنابراین، اجرای اقدامات زیر برای تمامی کاربران Nginx UI الزامی است:

به‌روزرسانی فوری: اولین و مهم‌ترین اقدام، ارتقای نسخه‌های فعلی به نسخه 3.3 یا بالاتر است. این اقدام مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
پاک‌سازی و تغییر (Rotation): پس از به‌روزرسانی، ضروری است که تمامی توکن‌های نشست را باطل کرده و رمز عبور کاربران را تغییر دهید. همچنین، در صورت احتمال افشای کلیدهای خصوصی SSL/TLS، باید گواهی‌های SSL/TLS را بازنشانی کنید تا از بروز مشکلات بیشتر جلوگیری شود.
ایمن‌سازی شبکه: دسترسی به رابط کاربری Nginx UI را در سطح شبکه محدود کرده و از قرار دادن مستقیم آن روی اینترنت عمومی پرهیز کنید. استفاده از شبکه‌های خصوصی مجازی (VPN) یا تونل‌های SSH توصیه می‌شود.
استفاده از فایروال اپلیکیشن وب (WAF): فایروال اپلیکیشن وب را برای نظارت بر درخواست‌های ورودی به سمت مسیرهای مدیریتی پیکربندی کنید تا درخواست‌های غیرمجاز به سمت /api/backup شناسایی و مسدود شوند.
اعمال احراز هویت چندعاملی (MFA): برای دسترسی به پنل‌های مدیریتی حساس، حتماً از احراز هویت چندعاملی استفاده کنید تا حتی در صورت افشای اعتبارنامه‌ها، امنیت لایه‌ی مدیریتی حفظ شود.
کنترل دسترسی مبتنی بر نقش (RBAC): پس از انجام به‌روزرسانی‌ها، تنظیمات RBAC را بازبینی کنید تا مطمئن شوید که تنها کاربران مجاز به عملکردهای حساس مانند پشتیبان‌گیری دسترسی دارند. این اقدام به تقویت امنیت دسترسی کمک خواهد کرد.

اجرای سریع به‌روزرسانی‌ها و اقدامات کاهش ریسک می‌تواند به‌طور قابل‌توجهی احتمال بهره‌برداری از این آسیب‌پذیری را کاهش دهد و امنیت سیستم را بهبود بخشد.

امکان استفاده در تاکتیک‌های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)
مهاجم با ارسال یک درخواست HTTP GET ساده به endpoint /api/backup وب‌سرور هدف، بدون نیاز به احراز هویت، دسترسی اولیه به فایل پشتیبان سیستم را به دست می‌آورد. این دسترسی از راه دور و بدون نیاز به هیچ اعتبارنامه‌ای است.

Execution (TA0002)
پس از دانلود فایل پشتیبان، مهاجم با استفاده از کلید رمزنگاری افشا شده در هدر پاسخ، فایل را رمزگشایی کرده و به محتویات آن دسترسی پیدا می‌کند. هرچند در این مرحله کد مخربی اجرا نمی‌شود، اما داده‌های به دست آمده بستر لازم برای اجرای مراحل بعدی حمله را فراهم می‌کنند.

Persistence (TA0003)
مهاجم با دسترسی به اعتبارنامه‌های کاربران و توکن‌های نشست ذخیره شده در فایل database.db، می‌تواند به عنوان آن کاربران وارد سیستم شده و از این طریق دسترسی پایدار خود را تضمین کند. همچنین با استفاده از کلیدهای خصوصی SSL، می‌تواند جلسات رمزگذاری شده را در آینده نیز رمزگشایی نماید.

Privilege Escalation (TA0004)
هدف اصلی این آسیب‌پذیری ارتقاء سطح دسترسی است. مهاجم از یک وضعیت “بدون دسترسی” با به دست آوردن اعتبارنامه‌های مدیران و توکن‌های نشست فعال، به سطح دسترسی بالاتر (اغلب مدیریتی) در سیستم ارتقاء می‌یابد.

Defense Evasion (TA0005)
مهاجم می‌تواند با استفاده از اعتبارنامه‌های به دست آمده، به صورت عادی وارد سیستم شده و فعالیت‌های خود را در میان ترافیک عادی کاربران پنهان کند. همچنین می‌تواند لاگ‌های دسترسی به endpoint پشتیبان را پاکسازی نماید تا ردپای خود را از بین ببرد.

Credential Access (TA0006)
این آسیب‌پذیری مستقیماً منجر به دسترسی به اطلاعات احراز هویت می‌شود. مهاجم با رمزگشایی فایل پشتیبان، به هش رمزهای عبور کاربران، توکن‌های نشست فعال، کلیدهای خصوصی SSL و سایر اعتبارنامه‌های ذخیره شده در فایل‌های پیکربندی دسترسی کامل پیدا می‌کند.

Discovery (TA0007)
مهاجم با دسترسی به پیکربندی کامل Nginx (موجود در فایل پشتیبان)، می‌تواند ساختار داخلی شبکه شامل آدرس‌های سرویس‌های upstream، مسیرهای پراکسی معکوس و هاست‌های مجازی را شناسایی کرده و نقاط ضعف بعدی را برای نفوذ عمیق‌تر بیابد.

Collection (TA0008)
مهاجم تمام داده‌های موجود در فایل پشتیبان (پایگاه داده کاربران، گواهی‌ها، کلیدها و پیکربندی‌ها) را جمع‌آوری کرده و برای استفاده در مراحل بعدی آماده می‌سازد.

Exfiltration (TA0010)
خود فایل پشتیبان دانلود شده در مرحله بهره‌برداری، عملاً مرحله خروج داده را نیز تکمیل می‌کند. مهاجم با یک درخواست ساده، حجم زیادی از اطلاعات فوق‌حساس را از سرور هدف خارج می‌کند.

Impact (TA0040)
بهره‌برداری موفق از این آسیب‌پذیری منجر به نابودی کامل محرمانگی (Confidentiality) اطلاعات سرور می‌شود. مهاجم با دسترسی به اعتبارنامه‌های مدیران و کلیدهای خصوصی SSL، می‌تواند کنترل کامل وب‌سرور را به دست گرفته، ترافیک کاربران را رهگیری و دستکاری کند، وب‌سایت‌های میزبان‌شده را جعل نموده و از این اطلاعات به عنوان سکوی پرشی برای نفوذ به شبکه داخلی استفاده نماید. این امر می‌تواند منجر به نقض قوانین حریم خصوصی (مانند GDPR)، از دست رفتن اعتبار برند، خسارات مالی جبران‌ناپذیر و در موارد بحرانی، توقف کامل عملیات تجاری شود.

منابع

گزارش اثبات آسیب‌پذیری CVE-2026-27944

اطلاعات آسیب‌پذیری

عنوان: دانلود و افشای بکاپ کامل سیستم بدون نیاز به احراز هویت (Information Disclosure)
شناسه: CVE-2026-27944
وضعیت مشاوره: Advisory / Patch Available
امتیاز: CVSS: 9.8 (Critical)
محصول: Nginx UI

محصول / نسخه‌های آسیب‌پذیر

در نسخه‌های زیر (پیش از اعمال پچ امنیتی):

Nginx UI نسخه‌های قبل از 2.3.3
• Nginx UI نسخه 2.3.2 و پایین‌تر
• سیستم‌هایی که Nginx UI روی آن‌ها نصب شده و در معرض شبکه قرار دارد
• کلیه محیط‌های عملیاتی (Production) که از Nginx UI برای مدیریت Nginx استفاده می‌کنند
• استقرارهای Dockerized Nginx UI با نسخه آسیب‌پذیر

محیط‌های درگیر

سازمان‌هایی که از Nginx UI به عنوان ابزار مدیریت وب‌بیس وب‌سرور Nginx استفاده می‌کنند
• سرویس‌های میزبان‌شده روی پورت ۹۰۰۰ (پورت پیش‌فرض Nginx UI) و در معرض اینترنت
• محیط‌های ابری، مراکز داده و سرورهای مجازی که از Nginx UI بهره می‌برند
• ارائه‌دهندگان خدمات مدیریت شده (MSSP) که از Nginx UI برای مدیریت چندین نمونه Nginx استفاده می‌کنند
• کلیه صنایع (وب، تجارت الکترونیک، محتواسازی و…) که Nginx را پشت سرورهای خود اجرا می‌کنند

کامپوننت‌های آسیب‌پذیر

اندپوینت /api/backup (بدون میان‌افزار احراز هویت)
• هدر پاسخ HTTP: X-Backup-Security (حاوی کلید AES-256 و IV در متن آشکار)
• فایل api/backup/router.go (ثبت اندپوینت بدون احراز هویت)
• فایل api/backup/backup.go (ارسال کلید رمزنگاری در هدر پاسخ)
• مکانیزم رمزنگاری بکاپ (AES-256-CBC با کلید در معرض افشا)

ریشه مشکل (Root Cause Analysis)

ریشه اصلی این آسیب‌پذیری به ترکیبی از دو نقص امنیتی اساسی در طراحی و پیاده‌سازی Nginx UI بازمی‌گردد. اولین نقص از نوع «عدم احراز هویت برای عملکرد حیاتی» (CWE-306) است. اندپوینت /api/backup که وظیفه ایجاد و دانلود بکاپ کامل سیستم را بر عهده دارد، در فایل api/backup/router.go بدون هیچ‌گونه میان‌افزار (Middleware) احراز هویتی ثبت شده است. در حالی که سایر اندپوینت‌های حساس (مانند restore) با لایه‌های امنیتی محافظت می‌شوند، اندپوینت بکاپ به طور کامل در معرض دسترسی بدون نیاز به احراز هویت قرار گرفته است. نقص دوم از نوع «عدم رمزگذاری داده‌های حساس» (CWE-311) است. اگرچه فایل بکاپ با الگوریتم AES-256-CBC رمزگذاری می‌شود، اما کلید رمزگذاری (AES-256 Key) و بردار اولیه (IV) در هدر پاسخ HTTP با نام X-Backup-Security به صورت متن آشکار (Plaintext) و رمزگذاری‌نشده به مهاجم ارسال می‌گردد. این دو ضعف از طریق سطح حمله شبکه (پورت ۹۰۰۰ یا هر پورتی که Nginx UI روی آن اجرا می‌شود) قابل دسترسی هستند و برای بهره‌برداری موفق، تنها نیاز به دسترسی شبکه به این پورت وجود دارد. در سناریوی بهره‌برداری کلی، مهاجم با ارسال یک درخواست GET به اندپوینت /api/backup بدون نیاز به احراز هویت، یک فایل بکاپ رمزگذاری‌شده (معمولاً با نام nginx-ui.zip) را به همراه هدر X-Backup-Security حاوی کلید رمزگشایی دریافت می‌کند. سپس با استفاده از کلید و IV افشاشده، می‌تواند بلافاصله فایل بکاپ را رمزگشایی کرده و به تمام اطلاعات حساس سیستم شامل اعتبارنامه‌های کاربران، توکن‌های نشست، کلیدهای خصوصی SSL و پیکربندی کامل Nginx دسترسی یابد.

بخش آسیب‌پذیر

رفتار ناامن سیستم:

عدم اعمال هرگونه مکانیزم احراز هویت بر روی اندپوینت /api/backup و افشای کلید رمزگشایی بکاپ در هدر پاسخ HTTP بدون رمزگذاری. این رفتار ناامن باعث می‌شود که هر مهاجمی با دسترسی شبکه، بتواند بدون احراز هویت، فایل بکاپ کامل سیستم را دانلود و بلافاصله رمزگشایی کند.

نحوه سوءاستفاده مهاجم:

مهاجم یک اسکن ساده روی پورت ۹۰۰۰ (پورت پیش‌فرض Nginx UI) یا شناسایی زیردامنه‌های مرتبط انجام می‌دهد
• مهاجم یک درخواست GET به آدرس http://target:9000/api/backup ارسال می‌کند
• سرور Nginx UI بدون بررسی احراز هویت، فایل nginx-ui.zip را در بدنه پاسخ بازمی‌گرداند
• مهاجم هدر پاسخ X-Backup-Security را که حاوی کلید AES-256 و IV در قالب Base64 است، استخراج می‌کند
• مهاجم فایل ZIP دانلودشده را با استفاده از کلید و IV افشاشده رمزگشایی می‌کند
• مهاجم به محتویات بکاپ شامل database.db (حاوی اعتبارنامه‌ها و توکن‌های نشست)، app.ini (حاوی رمزهای برنامه)، nginx.conf (پیکربندی Nginx) و کلیدهای خصوصی SSL دسترسی پیدا می‌کند
• مهاجم از اعتبارنامه‌های به‌دست‌آمده برای ورود به رابط مدیریت Nginx UI استفاده کرده و کنترل کامل بر پیکربندی و ترافیک وب‌سرور به دست می‌آورد
• مهاجم می‌تواند از کلیدهای خصوصی SSL برای حملاتMitM یا جعل هویت وب‌سایت استفاده کند

نقش این آسیب‌پذیری در زنجیره حمله

این آسیب‌پذیری یک نقطه ورود اولیه (Initial Access) بسیار قدرتمند و یک ابزار افزایش سطح دسترسی (Privilege Escalation) کامل در زنجیره حمله محسوب می‌شود. با توجه به نمره CVSS 9.8 (بحرانی)، ماهیت شبکه‌ای و عدم نیاز به احراز هویت، مهاجم می‌تواند از راه دور و بدون نیاز به هرگونه تعامل با کاربر، کنترل کامل وب‌سرور Nginx و زیرساخت مرتبط را در دست گیرد. Nginx UI به عنوان یک ابزار مدیریتی، دسترسی مستقیم به فایل‌های پیکربندی Nginx، پایگاه‌داده داخلی حاوی اعتبارنامه‌ها و همچنین قابلیت ذخیره‌سازی کلیدهای خصوصی SSL را فراهم می‌کند. موفقیت در بهره‌برداری از این آسیب‌پذیری عملاً به معنای نقض کامل محرمانگی (Confidentiality) و یکپارچگی (Integrity) سرویس Nginx و تمامی برنامه‌های تحت وب پشت آن است. مهاجم می‌تواند با استفاده از اعتبارنامه‌های به‌دست‌آمده، وارد رابط مدیریت Nginx UI شده و پیکربندی Nginx را تغییر دهد، ترافیک کاربران را به سرورهای مخرب هدایت کند (حملات Man-in-the-Middle)، یا با تغییر تنظیمات، لاگ‌های حمله خود را پاک نماید. همچنین، دسترسی به کلیدهای خصوصی SSL به مهاجم اجازه می‌دهد تا ترافیک رمزگذاری‌شده بین کاربران و وب‌سرور را رمزگشایی کرده یا وب‌سایت را به طور کامل جعل کند. با توجه به افشای عمومی PoC و گزارش‌های متعدد از تلاش برای بهره‌برداری در دنیای واقعی، این آسیب‌پذیری یک تهدید جدی و فوری برای تمام سازمان‌های استفاده‌کننده از Nginx UI محسوب می‌شود.

پیش‌نیازهای بهره‌برداری (Prerequisites)

دسترسی شبکه مهاجم به پورت ۹۰۰۰ (یا پورت سفارشی) سرویس Nginx UI روی سرور هدف
• استفاده از نسخه آسیب‌پذیر Nginx UI (نسخه‌های ۲.۳.۲ و پایین‌تر)
• عدم اعمال پچ امنیتی (ارتقا به نسخه ۲.۳.۳ یا بالاتر) روی سیستم هدف
• نبود محدودیت دسترسی مبتنی بر IP (عدم تنظیم IP‌وایت‌لیست) روی Nginx UI
• قرار داشتن رابط مدیریت Nginx UI در معرض اینترنت یا شبکه داخلی قابل دسترس برای مهاجم
• فعال بودن قابلیت بکاپ‌گیری در Nginx UI (به صورت پیش‌فرض فعال است)
• نبود سیستم‌های تشخیص نفوذ (IDS/IPS) یا WAF مؤثر برای شناسایی الگوهای درخواست به /api/backup

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

اندپوینت /api/backup باید با میان‌افزار احراز هویت (مانند AuthRequired()) محافظت شود
• اندپوینت /api/backup باید با میان‌افزار IPWhiteList() محدود شود و لیست خالی به معنای «رد همه آدرس‌ها» باشد
• کلید رمزگذاری بکاپ هرگز نباید در هدر پاسخ HTTP یا هر کانال ارتباطی رمزگذاری‌نشده ارسال شود
• رمزگذاری بکاپ باید به گونه‌ای طراحی شود که کلید رمزگشایی در سمت سرور نگهداری شده و هرگز در اختیار کلاینت قرار نگیرد
• دسترسی به بکاپ باید فقط به کاربران احراز هویت‌شده با نقش سرپرست (Administrator) محدود شود
• اصل کمترین دسترسی (Least Privilege) در طراحی و پیاده‌سازی سرویس‌ها رعایت شود
• مستندات امنیتی Nginx UI به وضوح نسبت به خطرات پیکربندی پیش‌فرض و نحوه هاردنینگ آن هشدار دهند

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

به‌روزرسانی فوری Nginx UI به نسخه ۲.۳.۳ یا بالاتر (که این آسیب‌پذیری در آن پچ شده است)
• در صورت عدم امکان به‌روزرسانی فوری، مسدودسازی کامل دسترسی به اندپوینت /api/backup در سطح WAF یا Reverse Proxy
• محدود کردن دسترسی شبکه به پورت ۹۰۰۰ (سرویس Nginx UI) تنها به آدرس‌های IP معتبر (شبکه مدیریت) با استفاده از فایروال
• قطع دسترسی اینترنت به سرویس Nginx UI در صورت عدم نیاز به مدیریت خارج از شبکه داخلی
• تغییر فوری تمام رمزهای عبور کاربران Nginx UI و بازنشانی توکن‌های نشست در صورت مشکوک بودن به افشای بکاپ
• تولید مجدد و جایگزینی تمام کلیدهای خصوصی SSL که ممکن است در بکاپ‌های قبلی افشا شده باشند
• پایش مداوم لاگ‌های دسترسی برای شناسایی درخواست‌های غیرمجاز به اندپوینت /api/backup

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

انجام اسکن کامل شبکه برای شناسایی تمام نمونه‌های Nginx UI در حال اجرا و بررسی نسخه آن‌ها
• پیاده‌سازی مکانیزم‌های تشخیص نفوذ (IDS/IPS) با قوانین اختصاصی برای شناسایی درخواست‌های مخرب به اندپوینت /api/backup
• فعال‌سازی و تقویت لاگ‌برداری تفصیلی از رفتارهای سرویس Nginx UI و ارسال آن‌ها به سیستم SIEM
• آموزش تیم‌های عملیاتی (Operations) در خصوص خطرات پیکربندی پیش‌فرض Nginx UI و نحوه هاردنینگ آن
• اجرای بازبینی امنیتی بر روی پیکربندی Nginx UI و اطمینان از اعمال IP‌وایت‌لیست مناسب
• استقرار سیستم‌های هشداردهنده برای شناسایی تلاش‌های مکرر برای دسترسی به اندپوینت /api/backup
• تغییر پورت پیش‌فرض Nginx UI از ۹۰۰۰ به یک پورت غیراستاندارد برای کاهش حملات خودکار

اقدامات بلندمدت برای کاهش ریسک:

بازطراحی معماری مدیریت Nginx به گونه‌ای که ابزارهای مدیریتی هرگز به طور مستقیم در معرض اینترنت قرار نگیرند
• استقرار راهکارهای خودکار به‌روزرسانی امنیتی (Patch Management) برای اعمال سریع وصله‌های امنیتی Nginx UI
• پیاده‌سازی فرآیندهای منظم تست نفوذ (Penetration Testing) و ارزیابی امنیتی برای کشف زودهنگام آسیب‌پذیری‌های مشابه در زیرساخت
• تدوین و اجرای سیاست‌های هاردنینگ برای تمام مؤلفه‌های مدیریتی بر اساس راهنمای امنیتی رسمی
• استفاده از ابزارهای تحلیل کد ایستا (SAST) در چرخه CI/CD برای شناسایی الگوهای حذف تصادفی میان‌افزارهای امنیتی
• پیاده‌سازی احراز هویت چندعاملی (MFA) برای دسترسی به رابط مدیریت Nginx UI

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

وجود درخواست‌های GET به آدرس /api/backup از آدرس‌های IP ناشناس یا خارج از محدوده شبکه مدیریت
• مشاهده درخواست‌های متعدد و پشت سر هم به /api/backup از یک منبع واحد در بازه زمانی کوتاه
• ثبت هدر پاسخ X-Backup-Security در لاگ‌های دسترسی که حاوی مقادیر Base64 طولانی است
• تغییرات ناگهانی و غیرمنتظره در فایل‌های پیکربندی Nginx (معمولاً در /etc/nginx/ یا مسیر مشخص‌شده در Nginx UI)
• افزایش ناگهانی ترافیک خروجی شبکه از سمت سرور Nginx به سمت آدرس‌های IP ناشناس (که حاکی از هدایت ترافیک به سرور مهاجم است)
• گزارش کاربران از خطاهای مربوط به گواهی SSL (که می‌تواند نشانه استفاده از کلید خصوصی افشاشده توسط مهاجم باشد)
• ورودهای موفق غیرعادی به رابط مدیریت Nginx UI از آدرس‌های IP غیرمعمول

منابع پیشنهادی برای مانیتورینگ و پایش:

لاگ‌های دسترسی Nginx UI (معمولاً در خروجی استاندارد Docker یا فایل‌های لاگ برنامه)
• لاگ‌های دسترسی و خطای Nginx (معمولاً در /var/log/nginx/access.log و /var/log/nginx/error.log)
• سیستم‌های SIEM برای جمع‌آوری و تحلیل مرکزی لاگ‌های Nginx UI و Nginx
• راهکارهای NDR (Network Detection and Response) برای شناسایی ترافیک مشکوک به سمت پورت ۹۰۰۰
• سیستم‌های نظارت بر یکپارچگی فایل (FIM) برای پایش تغییرات فایل‌های پیکربندی Nginx و کلیدهای SSL
• ابزارهای اسکن آسیب‌پذیری مانند Nuclei با قالب اختصاصی CVE-2026-27944
• راهکارهای WAF با قوانین اختصاصی برای مسدودسازی درخواست‌های حاوی الگوی /api/backup از منابع غیرمجاز

واکنش به حادثه (Incident Response)

ایزوله‌سازی فوری سرور Nginx آسیب‌دیده از شبکه جهت جلوگیری از حرکت جانبی مهاجم و ادامه نفوذ
• جمع‌آوری و حفظ لاگ‌های Nginx UI، Nginx و ترافیک شبکه مرتبط برای فارنزیک
• بازبینی فایل‌های پیکربندی Nginx برای شناسایی تغییرات مخرب (مانند پراکسی معکوس به سرور مهاجم) و حذف آن‌ها
• بازنشانی تمام رمزهای عبور کاربران Nginx UI و توکن‌های نشست فعال
• تولید مجدد و جایگزینی تمام کلیدهای خصوصی SSL که ممکن است در بکاپ افشا شده باشند
• اعمال پچ امنیتی (ارتقا به نسخه ۲.۳.۳ یا بالاتر) و اصلاح پیکربندی Nginx UI
• اسکن کامل شبکه برای شناسایی سایر سیستم‌هایی که ممکن است مهاجم از Nginx به آن‌ها دسترسی یافته باشد
• مستندسازی کامل حادثه (زمان وقوع، نشانه‌ها، اقدامات انجام‌شده، درس‌آموخته‌ها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)

جریان حمله (Attack Flow)

در نمودار زیر (شکل ۱)، جریان کلی بهره‌برداری از این آسیب‌پذیری نشان داده شده است. در این سناریو، مهاجم با ارسال یک درخواست GET ساده (بدون احراز هویت) به اندپوینت /api/backup، فایل بکاپ رمزگذاری‌شده و کلید رمزگشایی را به صورت همزمان دریافت کرده و بلافاصله به تمام اطلاعات حساس سیستم دسترسی پیدا می‌کند.

شکل 1: جریان اجرای آسیب پذیری

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte، این آسیب‌پذیری را در محیط ایزوله و کنترل‌شده با استفاده از نسخه آسیب‌پذیر بررسی و اجرا کرده است
• یک نمونه Nginx UI با پیکربندی پیش‌فرض روی پورت ۹۰۰۰ راه‌اندازی شده است (بدون IP‌وایت‌لیست)
• این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمی‌شود
• نتایج نشان می‌دهد که چگونه ترکیب عدم احراز هویت و افشای کلید رمزنگاری می‌تواند منجر به افشای کامل و فوری تمام اطلاعات حساس سیستم شود (شکل ۲)

شکل 2: اثبات اجرای آسیب پذیری

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع

https://www.cve.org/CVERecord?id=CVE-2026-27944

https://nvd.nist.gov/vuln/detail/CVE-2026-27944

https://cwe.mitre.org/data/definitions/306.html

https://cwe.mitre.org/data/definitions/311.html

https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-g9w5-qffc-6762

https://github.com/weefunker/CVE-2026-27944-Lab

https://www.sentinelone.com/vulnerability-database/cve-2026-27944/

https://securityaffairs.com/189123/security/critical-nginx-ui-flaw-cve-2026-27944-exposes-server-backups.html

https://thecyberexpress.com/cve-2026-27944-nginx-ui-backup-vulnerability/

https://advisories.checkpoint.com/defense/advisories/public/2026/cpai-2026-1754.html

Nginx UI

CVE-2026-27944 & CVE-2026-33032 – Unauthenticated Access Leading to Full Service Takeover & Sensitive Data Exposure

CVE-2026-27944 – Unauthenticated MCP Endpoint Leading to Full Nginx Takeover

Affects

Nginx UI
Versions:
- ≤ 2.3.5
Components:
- MCP (Model Context Protocol) integration
Endpoints:
- /mcp
- /mcp_message

Description

CVE-2026-27944 is a critical authentication bypass vulnerability in Nginx UI.

The application exposes two MCP-related endpoints:

/mcp (protected by authentication + IP whitelist)
/mcp_message (protected only by IP whitelist)

The issue arises because:

The /mcp_message endpoint does not enforce authentication
The IP whitelist defaults to empty, which is interpreted as allow all

This results in unauthenticated access to MCP functionality, allowing attackers to invoke privileged operations intended only for trusted users.

Through this interface, attackers can:

Restart Nginx,
Modify or delete configuration files,
Trigger configuration reloads.

Attack Vector

Primary Attack Vector:
Remote / Unauthenticated (HTTP Endpoint Exposure)

Attack Scenario:

An attacker discovers a publicly accessible Nginx UI instance.
The attacker sends HTTP requests to the /mcp_message endpoint.
Due to lack of authentication and permissive IP whitelist:
- The request is accepted.
The attacker invokes MCP tools via crafted requests.
The attacker manipulates Nginx configuration and service behavior.

Key Characteristics:

No authentication required.
No user interaction required.
Exploitable over the network via HTTP.
Relies on misconfigured access control logic.

Conditions Increasing Risk:

Public exposure of Nginx UI.
Default configuration unchanged.
Lack of reverse proxy or firewall protections.

Impact

Successful exploitation allows:

Full control over Nginx configuration,
Service disruption or shutdown,
Traffic redirection or interception,
Deployment of malicious configurations.

This represents a complete service takeover risk.

Observed Exploitation & Threat Activity

No confirmed widespread exploitation at disclosure.
High likelihood of rapid exploitation due to:
- trivial access,
- high impact,
- lack of authentication.

Severity & Metrics

CVSS v3.1: Critical (9.8)
Attack Vector: Network
Privileges Required: None
User Interaction: None

Relevant CWE:

CWE-306 – Missing Authentication
CWE-284 – Improper Access Control

Patch & Vendor Status

No official patch available at time of publication.

Mitigation & Remediation

Immediate Actions

Restrict access to Nginx UI via:
- firewall rules,
- VPN,
- IP allowlisting.
Disable MCP functionality if not required.

Defensive Measures

Place Nginx UI behind authentication (reverse proxy).
Monitor for unauthorized configuration changes.

Detection & Hunting

Indicators:

Requests to /mcp_message from unknown sources.
Unexpected Nginx restarts or config changes.

CVE-2026-33032 – Unauthenticated Backup Disclosure & Decryption Key Exposure

Affects

Nginx UI
Versions:
- < 2.3.3
Endpoint:
- /api/backup

Description

CVE-2026-33032 is a critical information disclosure vulnerability in Nginx UI.

The /api/backup endpoint:

Is accessible without authentication
Returns a full system backup
Includes a response header:
- X-Backup-Security containing the decryption key

This allows attackers to:

Download the backup,
Immediately decrypt it,
Access sensitive system data.

Exposed data may include:

User credentials,
Session tokens,
SSL private keys,
Nginx configurations.

Attack Vector

Primary Attack Vector:
Remote / Unauthenticated (HTTP Endpoint Exposure)

Attack Scenario:

An attacker identifies an exposed Nginx UI instance.
The attacker sends a request to /api/backup.
The server responds with:
- encrypted backup file,
- decryption key in HTTP header.
The attacker retrieves and decrypts the backup.
Sensitive data is extracted.

Key Characteristics:

No authentication required.
No user interaction required.
Direct data exposure via HTTP response.

Conditions Increasing Risk:

Publicly exposed Nginx UI.
Backup endpoint enabled.
Lack of monitoring or access restrictions.

Impact

Successful exploitation allows:

Full disclosure of sensitive system data,
Credential compromise,
SSL key exposure (enabling MITM attacks),
Follow-on attacks using recovered secrets.

This vulnerability results in complete confidentiality compromise.

Observed Exploitation & Threat Activity

No confirmed widespread exploitation at disclosure.
High risk due to:
- trivial exploitation,
- immediate data access,
- sensitive material exposure.

Severity & Metrics

CVSS v3.1: Critical (9.8)
Attack Vector: Network
Privileges Required: None
User Interaction: None

Relevant CWE:

CWE-522 – Insufficiently Protected Credentials
CWE-200 – Information Exposure
CWE-306 – Missing Authentication

Patch & Vendor Status

Fixed in version 2.3.3

Mitigation & Remediation

Immediate Actions

Upgrade to Nginx UI 2.3.3 or later.
Restrict access to /api/backup.

Defensive Measures

Block public access to management interfaces.
Rotate all exposed credentials and keys.

Detection & Hunting

Indicators:

Requests to /api/backup.
Unusual data transfer volumes.
Unauthorized access logs.

Combined Risk Overview

CVE	Type	Impact	Auth Required	Severity
CVE-2026-27944	Auth bypass → RCE-like control	Full Nginx takeover	No	Critical
CVE-2026-33032	Info disclosure	Full data exposure	No	Critical

Post-Incident Response

If exploitation is suspected:

Isolate affected system.
Rotate all credentials and keys.
Restore configurations from trusted sources.
Audit logs for attacker activity.
Rebuild system if compromise is confirmed.

References

Nginx UI Security Advisory
NVD – CVE-2026-27944
NVD – CVE-2026-33032
CWE-306: Missing Authentication

بررسی آماری آسیب پذیری CVE-2026-27944 در کشور ایران

محصول آسیب پذیر: nginx-ui (نسخه‌های 2.3.5 و پیشین)

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

بر اساس گزارش‌های آماری آوریل ۲۰۲۶، وب‌سرور Nginx با سهم ۴۲ درصدی، محبوب‌ترین فناوری در میان وب‌سرورهای دامنه .ir است. Apache با ۲۰ درصد در رتبه دوم و LiteSpeed با ۱۹ درصد در رتبه سوم قرار دارند. این آمار نشان‌دهنده نفوذ عمیق Nginx در زیرساخت وب ایران است. همچنین در حوزه Reverse Proxy، سهم Nginx تقریباً ۱۰۰ درصد بوده و تقریباً تمام وب‌سایت‌های ایرانی که از پروکسی معکوس استفاده می‌کنند، بر پایه Nginx اجرا می‌شوند. با توجه به اینکه nginx-ui به عنوان یک رابط کاربری تحت وب برای مدیریت Nginx طراحی شده، گستردگی استفاده از Nginx در ایران به معنای وجود حجم قابل توجهی از نمونه‌های nginx-ui در اکوسیستم داخلی است.

میزان استفاده در ایران بر اساس موتورهای جستجو

تعداد در زمان نگارش گزارش

موتور جستجو	Dork	تعداد
Google	site:.ir “nginx”	44000
Google	“nginx”	31000000
Google	site:.ir “nginx” “management”	11000

وجود نمایندگی در کشور ایران

پروژه nginx-ui یک پروژه متن‌باز و غیرتجاری است که توسط تیم کوچکی از توسعه‌دهندگان مستقل در بستر GitHub مدیریت می‌شود و هیچ دفتر رسمی، نمایندگی یا شعبه تجاری در ایران ندارد. دسترسی به این ابزار و پشتیبانی مرتبط با آن صرفاً از طریق مخازن آنلاین (مانند GitHub) و مستندات عمومی امکان‌پذیر است.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

وب‌سرور Nginx با سهم ۴۲ درصدی از کل وب‌سرورهای دامنه .ir، پرمصرف‌ترین فناوری در این حوزه است. همچنین در زمینه پروکسی معکوس (Reverse Proxy)، سهم Nginx نزدیک به ۱۰۰ درصد بوده و عملاً بازار ایران را در اختیار دارد. این آمار نشان می‌دهد که Nginx به عنوان قلب زیرساخت وب ایران شناخته می‌شود.

nginx-ui
هرچند آمار دقیقی از تعداد نصب‌های nginx-ui در ایران در دست نیست، اما تخمین زده می‌شود هزاران نمونه از این ابزار مدیریتی روی وب‌سرورهای ایرانی نصب شده باشد.

منابع

CVE-2026-27944

Nginx UI: Unauthenticated Backup Download with Encryption Key Disclosure

Nginx UI

CVE-2026-27944 & CVE-2026-33032 – Unauthenticated Access Leading to Full Service Takeover & Sensitive Data Exposure

CVE-2026-27944 – Unauthenticated MCP Endpoint Leading to Full Nginx Takeover

Affects

Description

Attack Vector

Impact

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation

Immediate Actions

Defensive Measures

Detection & Hunting

CVE-2026-33032 – Unauthenticated Backup Disclosure & Decryption Key Exposure

Affects

Description

Attack Vector

Impact

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation

Immediate Actions

Defensive Measures

Detection & Hunting

Combined Risk Overview

Post-Incident Response

References

CVE-2026-33032

آسیب‌پذیری Prompt Injection در Copilot Studio و Salesforce Agentforce؛ تهدید جدید برای امنیت داده‌های سازمانی

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ