Nginx

Uma vulnerabilidade crítica no Nginx UI, relacionada ao suporte ao Model Context Protocol (MCP), está sendo explorada ativamente, permitindo que atacantes assumam o controle total do servidor sem necessidade de autenticação. A falha, identificada como CVE-2026-33032, ocorre devido à falta de proteção no endpoint ‘/mcp_message’, que permite a execução de ações privilegiadas do MCP sem credenciais. Isso possibilita que um único pedido não autenticado altere o comportamento do servidor, incluindo a modificação e recarregamento de arquivos de configuração do Nginx.

Pesquisadores de cibersegurança revelaram uma campanha ativa de sequestro de tráfego web que visa instalações do NGINX e painéis de gerenciamento como o Baota (BT). A Datadog Security Labs identificou que atores de ameaças estão explorando a vulnerabilidade React2Shell (CVE-2025-55182, pontuação CVSS: 10.0) utilizando configurações maliciosas do NGINX para redirecionar o tráfego legítimo através de servidores controlados pelos atacantes. A campanha foca em domínios de nível superior (TLDs) asiáticos e infraestrutura de hospedagem chinesa, além de TLDs governamentais e educacionais. Os atacantes utilizam scripts em shell para injetar configurações maliciosas no NGINX, capturando requisições em URLs específicas e redirecionando-as. O toolkit utilizado inclui scripts que orquestram a execução de etapas subsequentes, visando persistência e criação de arquivos de configuração maliciosos. Dados recentes indicam que dois endereços IP representam 56% das tentativas de exploração observadas, com um total de 1.083 IPs únicos envolvidos em um curto período. A situação é preocupante, pois sugere um interesse em acesso interativo, além da extração automatizada de recursos.

Pesquisadores do DataDog Security Labs descobriram uma campanha de ciberataques que compromete servidores NGINX, redirecionando o tráfego de usuários por meio da infraestrutura do atacante. O NGINX, um software de gerenciamento de tráfego web amplamente utilizado, é alvo de modificações em seus arquivos de configuração, onde blocos maliciosos são injetados. Esses blocos capturam requisições em URLs selecionadas e as redirecionam para domínios controlados pelos atacantes, utilizando a diretiva ‘proxy_pass’, que normalmente é usada para balanceamento de carga e, portanto, não aciona alertas de segurança.