208/69 (IT) ประจำวันศุกร์ที่ 17 เมษายน 2569
ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์แจ้งเตือนการตรวจพบการโจมตีจริง (Actively Exploited) ต่อช่องโหว่หมายเลข CVE-2026-33032 ซึ่งมีความรุนแรงระดับวิกฤตบน Nginx UI เครื่องมือจัดการ Nginx ผ่านเว็บไซต์ยอดนิยมที่มีผู้ใช้งานจำนวนมาก โดยช่องโหว่นี้เกิดจากการที่ระบบรองรับ Model Context Protocol (MCP) แต่กลับปล่อยให้ Endpoint /mcp_message ปราศจากการป้องกัน ทำให้แฮกเกอร์จากระยะไกลสามารถข้ามขั้นตอนการยืนยันตัวตน และเข้าถึงสิทธิ์การจัดการระดับสูงได้ทันทีโดยไม่ต้องมีบัญชีผู้ใช้งาน
จากการวิเคราะห์พบว่ากระบวนการมีความซับซ้อนน้อยแต่ให้ผลลัพธ์ที่รุนแรงมาก เริ่มต้นเพียงแค่แฮกเกอร์สร้างการเชื่อมต่อแบบ SSE เพื่อดึงค่า Session ID ออกมา จากนั้นจะส่งคำขอ (POST request) ไปยังส่วนควบคุม MCP โดยตรงเพื่อสั่งการผ่านเครื่องมือจัดการระบบที่มีอยู่ถึง 12 รูปแบบ ซึ่งรวมถึงความสามารถในการอ่าน แก้ไข หรือลบไฟล์คอนฟิกของ Nginx ตลอดจนการฝังค่าคอนฟิกอันตราย (Injection) และสั่งให้เซิร์ฟเวอร์ทำการ Auto-reload เพื่อให้การปรับแต่งของแฮกเกอร์มีผลในทันที ส่งผลให้เกิดการยึดครองเซิร์ฟเวอร์ได้อย่างสมบูรณ์
ในปัจจุบันมีการตรวจพบอินสแตนซ์ของ Nginx UI ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ตสาธารณะและมีความเสี่ยงสูงกว่า 2,600 แห่งทั่วโลก โดยเฉพาะในกลุ่มประเทศแถบเอเชียและยุโรป เนื่องจากมีโค้ดสาธิตการโจมตี (Proof-of-Concept: PoC) เผยแพร่ออกมาสู่สาธารณะแล้ว ทำให้ความเสี่ยงยิ่งทวีความรุนแรงขึ้น สำหรับผู้ดูแลระบบที่ใช้งาน Nginx UI ขอแนะนำให้ตรวจสอบและเร่งดำเนินการอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดคือ 2.3.6 โดยเร็วที่สุดเพื่อปิดช่องโหว่ดังกล่าวและป้องกันความเสียหายที่อาจเกิดขึ้นกับโครงสร้างพื้นฐานขององค์กรได้