ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนผู้ดูแลระบบที่มีการใช้งาน nginx-ui ซึ่งเป็นเครื่องมือแบบเว็บสำหรับบริหารจัดการ Nginx ให้เร่งตรวจสอบและอัปเดตระบบโดยด่วน เนื่องจากมีการเปิดเผยช่องโหว่ร้ายแรงหมายเลข CVE-2026-33032 ( CVSS 3.1: 9.8 ) ซึ่งเป็นช่องโหว่ประเภท Authentication Bypass โดยช่องโหว่นี้อาจเปิดโอกาสให้ผู้ไม่หวังดีเข้าควบคุมบริการ Nginx ได้โดยไม่ต้องผ่านการยืนยันตัวตน
1. รายละเอียดและพฤติการณ์ของภัยคุกคาม [1]
ช่องโหว่ CVE-2026-33032 พบในฟังก์ชัน MCP (Model Context Protocol) ของ nginx-ui โดย endpoint ที่ชื่อ /mcp_message ไม่มีการบังคับตรวจสอบสิทธิ์อย่างเหมาะสม ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งจัดการระบบได้
ในกรณีที่ระบบเปิดให้เข้าถึงจากเครือข่ายภายนอก หรือมีการตั้งค่า allowlist ไม่รัดกุม ผู้โจมตีอาจใช้ช่องโหว่เพื่อเข้ามาสั่งงานผ่าน nginx-ui ได้ทันที เช่น แก้ไขไฟล์คอนฟิกของ Nginx สั่ง reload บริการ เพิ่มการเปลี่ยนเส้นทางเว็บไซต์ หรือวาง backdoor เพื่อใช้โจมตีต่อในภายหลัง
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
2.1 nginx-ui เวอร์ชัน 2.3.5 และเวอร์ชันก่อนหน้า [2]
2.2 ระบบที่เปิดใช้งาน MCP integration และสามารถเข้าถึง endpoint ได้
2.3 ระบบที่เปิดหน้า nginx-ui ให้เข้าถึงได้จากอินเทอร์เน็ต
3. แนวทางการแก้ไขและป้องกันสำหรับผู้ใช้งาน [3]
3.1 อัปเดต nginx-ui เป็นเวอร์ชันล่าสุด ที่ผู้พัฒนาทำการแก้ไขแล้วโดยด่วน
3.2 หากไม่สามารถอัปเดตได้ทันทีควร ปิดการใช้งาน MCP functionality ชั่วคราว หรือจำกัดการเข้าถึง endpoint ที่เกี่ยวข้อง เพื่อลดความเสี่ยงจากการถูกโจมตี
3.3 ปรับการตั้งค่า IP allowlist ให้อนุญาตเฉพาะ IP ที่จำเป็น หรืออนุญาตเฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น
3.4 ตรวจสอบว่าหน้าเว็บหรือพอร์ตสำหรับบริหารจัดการ nginx-ui ไม่ถูกเปิดเผยบนอินเทอร์เน็ตสาธารณะ และจำกัดเข้าถึงผ่านเครือข่ายภายในหรือ VPN เท่านั้น
4. มาตรการลดความเสี่ยงเร่งด่วน [4]
4.1 จำกัดการเข้าถึงเครือข่ายของ nginx-ui ให้เหลือเฉพาะผู้ดูแลระบบหรือระบบจัดการที่จำเป็น และปิดกั้นการเข้าถึงจากอินเทอร์เน็ตสาธารณะโดยตรง
4.2 ตรวจสอบไฟล์คอนฟิกของ Nginx และประวัติการเปลี่ยนแปลงย้อนหลัง ว่ามีการเพิ่ม server block, redirect, reverse proxy, หรือการเปลี่ยนแปลงที่ไม่รู้จักหรือไม่
4.3 ตรวจสอบ log การใช้งาน โดยเฉพาะการเรียกใช้งาน endpoint ที่เกี่ยวข้องกับ /mcp และ /mcp_message รวมถึงการ reload หรือ restart บริการที่ผิดปกติ
4.4 กรณีที่สงสัยว่าระบบอาจถูกโจมตีแล้ว ควรตรวจสอบการฝัง backdoor การรั่วไหลของข้อมูลรับรอง และเปลี่ยนรหัสผ่านของผู้ดูแลระบบทันที
แหล่งอ้างอิง